skip to content
今日の脆弱性
Table of Contents

概要

本日、日本のエンジニア・開発者の皆様にお伝えすべき重要脆弱性情報をお届けします。本日は、CVSSスコア9.0以上のCriticalな脆弱性が3件公開されました。特に、オープンソースの動画共有プラットフォームClipBucketにおいて、リモートからのコマンド実行とSQLインジェクションの脆弱性が発見されています。また、CyberArkの特権セッション管理製品にもコード実行の潜在的なリスクが報告されています。これらすべてに対し、速やかな対応が求められます。

CVE-2026-42846: ClipBucket: リモート再生URLコマンドインジェクション

  • CVSS: 9.8 (Critical)
  • 影響: MacWarrior / clipbucket-v5 — versions: < 5.5.3 - #140 (affected)

概要

ClipBucket v5はオープンソースの動画共有プラットフォームですが、そのリモート再生機能に深刻な脆弱性が見つかりました。認証済みユーザーが外部URLを動画ソースとしてインポートする際、提供されたURLがシェルコマンドに直接連結され、エスケープ処理なしに実行されます。これにより、任意のシェルメタ文字がコマンドとして解釈され、結果として任意のコマンド実行が可能な状態となっています。

推奨対応

開発元から提供されているバージョン 5.5.3 - #140 への速やかなアップデートを強く推奨します。このバージョンで脆弱性は修正されています。詳細については、ベンダーのアドバイザリを参照し、影響を受けるシステムを直ちに更新してください。

参考

CVE-2026-45060: ClipBucket: progress_video.phpにおけるブラインドSQLインジェクション

  • CVSS: 9.8 (Critical)
  • 影響: MacWarrior / clipbucket-v5 — versions: < 5.5.3 - #129 (affected)

概要

同じくClipBucket v5において、actions/progress_video.phpエンドポイントがブラインドSQLインジェクションに対して脆弱であることが判明しました。この脆弱性は、認証されていないユーザーが悪意のあるidsパラメーターを利用することで、SQLクエリを実行し、システムから機密データを窃取する可能性を秘めています。

推奨対応

開発元が提供するバージョン 5.5.3 - #129 への速やかなアップデートが必要です。このバージョンで本脆弱性は修正されています。システムのセキュリティを確保するため、直ちにパッチ適用を行い、公式アドバイザリで詳細を確認してください。

参考

CVE-2026-45171: CyberArk Privileged Session Manager: 不完全な入力検証による潜在的なコード実行

  • CVSS: 9.3 (Critical)
  • 影響: CyberArk Software, a Palo Alto Networks Company / Privileged Session Manager, Vault — versions: 14.0 〜 < 14.0.5 (affected), 14.2 〜 < 14.2.5 (affected), 14.6 〜 < 14.6.3 (affected), 15.0 〜 < 15.0.3 (affected)

概要

Idira Privileged Session Manager (PSM) の複数のバージョン(15.0.3、14.6.3、14.2.5、14.0.5より前のバージョン)において、不完全な入力検証と不適切に設定されたフォルダー権限が原因で、認証された低権限ユーザーが任意のコードを実行する潜在的な脆弱性が確認されました。これにより、システムへの深刻な影響が懸念されます。

推奨対応

CyberArk社から提供されているセキュリティパッチを適用することが必須です。影響を受けるバージョンに応じて、15.0.3、14.6.3、14.2.5、または14.0.5への更新を行ってください。詳細な対応手順はCyberArk Security Bulletin: CA26-17およびCA26-18をご確認ください。

参考

出典