【活用ガイド】

JVNDB-2026-001797

arunnaのArunnaにおけるクロスサイトリクエストフォージェリの脆弱性

概要

Arunna 1.0.0にはクロスサイトリクエストフォージェリの脆弱性があり、認証なしで攻撃者がユーザープロファイル設定を操作できる可能性があります。攻撃者は悪意のあるフォームを作成し、認証済みユーザーを騙してそのフォームを送信させることで、パスワード、メール、管理者権限を含むユーザー情報を変更可能です。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 6.5 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): 高
  • 可用性への影響(A): なし
影響を受けるシステム


arunna
  • Arunna 1.0.0

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
想定される影響

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

Internet Archive
CWEによる脆弱性タイプ一覧  CWEとは?

  1. クロスサイトリクエストフォージェリ(CWE-352) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2021-47754
参考情報

  1. National Vulnerability Database (NVD) : CVE-2021-47754
  2. 関連文書 : Arunna 1.0.0 - 'Multiple' Cross-Site Request Forgery (CSRF) - PHP webapps Exploit
  3. 関連文書 : GitHub - arunna/arunna: Arunna is a solution that creates a place where social media, networking and community collaborate. You and your customers can have the option to connect and share content online. Our platform gives the opportunity for both hosted 
更新履歴

  • [2026年01月26日]
      掲載

公表日2026/01/15
登録日2026/01/26
最終更新日2026/01/26