つみかさね

CVE-2026-49490

High(8.1)

CVE-2026-49490 — OpenCATS DataGrid フィルター SQLインジェクション

公開日: 2026-06-01データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
OpenCATSopencats>= 0.9.1a

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1OpenCATS 0.9.1a 以降を使用しているか確認する
  2. 2最新版へのアップデートを実施する
  3. 3ユーザー権限を最小化しアカウント管理を見直す

影響対象

OpenCATS 採用管理システム利用者

補足

  • -CVE-2026-49489 と合わせて対応を検討してください
CVEOpenCATSSQLインジェクション採用管理システム

概要

OpenCATS 0.9.1a 以降において、Candidates DataGrid の Tags カラムに対するフィルター処理にSQLインジェクション脆弱性が存在します。Tags カラムはフィルター不可(non-filterable)として設定されていますが、攻撃者はこの制限をバイパスするようフィルターリクエストを操作し、データベースに対して任意のSQLクエリを実行できます。認証済みユーザーによる悪用が前提となります。

CVSSベクトル

指標
スコア8.1 (High)
脆弱性タイプSQLインジェクション (CWE-89)
攻撃経路ネットワーク (Network)
必要な権限認証済みユーザー

影響を受けるソフトウェア

製品ベンダーバージョン
OpenCATSopencats0.9.1a 以降

修正バージョンと回避策

  1. OpenCATS の最新版へのアップデートを確認する
  2. 不要なユーザーアカウントを無効化し、権限を最小化する
  3. データベースのアクセス権限を最小化する

関連CVE

  • CVE-2026-49489(DataGrid sortDirection SQLインジェクション、CVSS 8.5)

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-49489OpenCATS SQLインジェクション(sortDirection)CVSS 8.5

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-49490
GitHub Advisory:https://github.com/opencats/OpenCATS/security/advisories/GHSA-gmpc-j6h7-vw74
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。