JVNDB-2026-005131

Bluditにおけるクロスサイトリクエストフォージェリの脆弱性

Bludit バージョン 3.16.1 には、/admin/uninstall-plugin/ および /admin/install-theme/ エンドポイントにクロスサイトリクエストフォージェリ（CSRF）脆弱性があります。本アプリケーションは、これらの管理操作に対してアンチCSRFトークンやその他のリクエスト発信元検証機構を実装していません。攻撃者は認証済み管理者を悪意のあるページに誘導し、そこで巧妙に作成されたリクエストを静かに送信させることで、不正なプラグインのアンインストールやテーマのインストールを引き起こすことが可能です。これにより、機能喪失が発生し、悪意のあるテーマを介して信頼されていないコードが実行され、システムの整合性が侵害される恐れがあります。

Bludit

• Bludit 3.16.1

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

VulnCheck

• VulnCheck : Bludit <= 3.16.1 CSRF in Plugin and Theme Management Endpoints  | Advisories | VulnCheck

1. クロスサイトリクエストフォージェリ(CWE-352) [その他]

1. CVE-2026-27741

1. National Vulnerability Database (NVD) : CVE-2026-27741
2. 関連文書 : Cross-Site Request Forgery (CSRF) Vulnerability in Plugins and Theme  Issue #1577  bludit/bludit

• [2026年02月27日]
    掲載