JVNDB-2026-004953

SPIPにおける信頼できないデータのデシリアライゼーションに関する脆弱性

SPIP 4.4.9以前のバージョンでは、table_valeurフィルターとDATAイテレーターを通じてパブリックエリアで安全でないデシリアライズが可能でした。これらはシリアライズされたデータを受け入れます。悪意のあるシリアライズされたコンテンツを配置できる攻撃者（事前アクセスまたは別の脆弱性が前提条件）は、任意のオブジェクト生成を引き起こし、場合によってはコード実行を達成する可能性があります。これらのコンポーネントでのシリアライズデータの使用は非推奨とされており、SPIP 5で削除される予定です。この脆弱性はSPIPのセキュリティスクリーンでは緩和されません。

SPIP

• SPIP 4.4.0 以上 4.4.9 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

SPIP

• SPIP Blog : Mise  jour de scurit : sortie de SPIP 4.4.9 - SPIP Blog

VulnCheck

• VulnCheck : SPIP < 4.4.9 Insecure Deserialization  | Advisories | VulnCheck

1. 信頼できないデータのデシリアライゼーション(CWE-502) [NVD評価]

1. CVE-2026-27475

1. National Vulnerability Database (NVD) : CVE-2026-27475
2. 関連文書 : spip / spip  GitLab

• [2026年02月26日]
    掲載