skip to content
今日の脆弱性
Table of Contents

概要

本日、CVSSスコア9.3の「Critical」に分類される重要脆弱性が3件公開されました。これらは、GPS追跡アプリのユーザー情報漏洩、チャットシステムのファイルアクセス制御不備、およびLLMファインチューニングツールの認証バイパスに関するものです。いずれも広範な影響を及ぼす可能性があり、速やかな対応が求められます。

CVE-2026-48745: Traccar ClientにおけるGPSテレメトリの乗っ取り

  • CVSS: 9.3 (Critical)
  • 影響: traccar / traccar-client — versions: < 9.7.20 (affected)

概要

Traccar Client(バージョン9.7.19以前)は、特別に細工されたディープリンクを介して、GPS追跡設定がサイレントに乗っ取られる脆弱性があります。ユーザーがリンクをタップするだけで、サーバーURL、デバイスIDなどの設定が攻撃者制御下のサーバーに書き換えられ、GPS位置情報が継続的かつリアルタイムに漏洩する可能性があります。この脆弱性は、ユーザーへの確認や通知なしに発生します。

推奨対応

開発者はTraccar Clientバージョン9.7.20でこの脆弱性を修正済みです。影響を受ける利用者は、速やかに最新バージョンへアップデートしてください。また、出所の不明なリンクは安易にタップしないよう注意を払うことも重要です。

参考

CVE-2026-48616: Rocket.ChatにおけるLivechatファイルへのアクセス制御不備

  • CVSS: 9.3 (Critical)
  • 影響: Rocket.Chat / Rocket.Chat — versions: 0 〜 < 8.5.1 (affected), 0 〜 < 8.4.4 (affected), 0 〜 < 8.3.6 (affected), 0 〜 < 8.2.6 (affected), 0 〜 < 8.1.6 (affected), 0 〜 < 8.0.7 (affected), 0 〜 < 7.13.9 (affected), 0 〜 < 7.10.13 (affected)

概要

Rocket.Chatの複数のバージョンにおいて、Livechatファイルのダウンロード機能にアクセス制御の脆弱性が存在します。保護されたファイルダウンロード時に認証パスが適切に検証されず、ファイルIDが予測可能であるため、認証されていない攻撃者が全てのアップロードファイルを特定し、ダウンロードできる可能性があります。これにより、機密情報が意図せず公開されるリスクがあります。

推奨対応

ベンダーは、本脆弱性を修正したバージョン(8.5.1、8.4.4、8.3.6、8.2.6、8.1.6、8.0.7、7.13.9、7.10.13)をリリースしています。影響を受けるシステム管理者は、速やかにこれらの修正バージョン、またはそれ以降の最新バージョンへアップグレードすることが強く推奨されます。

参考

CVE-2026-48797: Backpropagate UIにおける認証バイパス

  • CVSS: 9.3 (Critical)
  • 影響: mcp-tool-shop-org / backpropagate — versions: >= 1.1.0, < 1.2.0 (affected)
  • 影響: mcp-tool-shop-org / @mcptoolshop/backpropagate — versions: >= 1.1.0, < 1.2.0 (affected)

概要

大規模言語モデルのファインチューニング用PythonライブラリであるBackpropagate(バージョン1.1.0および1.1.1)には、オプションのWeb UIにおいて認証バイパスの脆弱性が存在します。UI起動時に--authフラグを設定しても、実際には認証が強制されず、データセットのアップロード、モデルのロード、トレーニング制御など、全ての機能が認証なしで利用可能でした。これにより、攻撃者がシステムにフルアクセスし、モデルやデータに不正な操作を行うリスクがあります。

推奨対応

本脆弱性は、Backpropagateバージョン1.2.0で修正されています。影響を受ける利用者は、速やかに最新バージョンへアップデートしてください。また、Web UIを公開する際は、追加のネットワークレベルでのアクセス制限を検討し、不要なポートへの公開を避けるべきです。

参考

出典