CVE-2026-50223

High(8.8)

CVE-2026-50223 — Apache OFBiz テンプレートインジェクションによるRCE

公開日: 2026-06-14データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Apache OFBiz	Apache Software Foundation	< 24.09.07

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

1Apache OFBizのバージョンを確認する
224.09.06以前の場合、24.09.07以降へアップグレードする
3アップグレードが困難な場合、Content/DataResource編集権限を最小限に制限する
4CVE-2026-47342（特権昇格）も同バージョンで修正されているため、合わせて対応する

影響対象

Apache OFBiz利用者

補足

-CVE-2026-47342（特権昇格）と連鎖して悪用される可能性があります。合わせて24.09.07へのアップデートを推奨します

CVEApacheOFBizRCEコードインジェクション

概要

オープンソースERPフレームワーク Apache OFBiz のバージョン24.09.06以前に、テンプレートインジェクションによるリモートコード実行（RCE）の脆弱性が確認されました。CVSSスコアは8.8（HIGH）です。

Content/DataResource編集権限を持つ認証済みの低権限ユーザーが、テンプレートインジェクション攻撃を通じてリモートコード実行を行える脆弱性です（CWE-94）。CVE-2026-47342（特権昇格）と組み合わせると、低権限アカウントからRCEまで到達できるリスクがあります。

CVSSベクトル

項目	値
スコア	8.8 (HIGH)
攻撃元区分 (AV)	ネットワーク (N)
攻撃条件の複雑さ (AC)	低 (L)
必要な特権 (PR)	低 (L)
ユーザー操作 (UI)	不要 (N)
CWE	CWE-94（コードの生成の不適切な制御）

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Apache OFBiz	Apache Software Foundation	24.09.06 以前

修正バージョンと回避策

修正バージョン: Apache OFBiz 24.09.07

Apache OFBizの公式ダウンロードページから最新バージョンを取得してアップグレードしてください。

回避策: アップデートが即時困難な場合、Content/DataResourceの編集権限を持つユーザーアカウントを最小限に絞り込み、信頼できるユーザーのみに限定してください。

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-47342Apache OFBiz 特権昇格CVSS 8.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-50223

Apache OSS Security:https://lists.apache.org/thread/trr2p4zokg54glqlhjnglt4yr7n8t5xd

Xでシェアはてブ

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。