つみかさね

CVE-2026-6574

High(7.3)

CVE-2026-6574 — LightPicture ハードコード認証情報

公開日: 2026-04-20データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
LightPictureosuuu〜1.2.2

対応ガイド

high|推奨セキュリティ修正影響: 最小限

推奨アクション

  1. 1LightPictureを使用しているか確認する
  2. 2ハードコードされたAPIキーを変更する
  3. 3API Uploadエンドポイントへのアクセスを制限する

影響対象

LightPicture利用者

補足

  • -ベンダーからの応答がないため、修正時期は未定です
CVELightPictureハードコード認証情報画像管理

概要

osuuu LightPicture 1.2.2以前の /public/install/lp.sql に関連するAPI Uploadエンドポイントに、ハードコードされた認証情報の脆弱性が存在します。key 引数にハードコードされた値が使われており、リモートからAPIを不正に利用できる可能性があります。

CVSSベクトル

項目
CVSSスコア7.3(High)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権不要
ユーザー関与不要
CWECWE-259 / CWE-798(ハードコード認証情報)

影響を受けるソフトウェア

製品ベンダー影響バージョン
LightPictureosuuu〜1.2.2

修正バージョンと回避策

  • 修正: 修正バージョンは確認されていません(ベンダー応答なし)
  • 回避策: APIキーを変更する、API Uploadエンドポイントへのアクセスを制限する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-6574
VulDB:https://vuldb.com/vuln/358209
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。