JVNDB-2026-005720

Sz-Adminのsz-boot-parentにおける複数の脆弱性

feiyuchuixue sz-boot-parent 1.3.2-beta までのバージョンに脆弱性が存在します。影響を受けるのはコンポーネントAPIエンドポイントの /api/admin/sys-message/ の特定の関数であり、引数 messageId の不適切な処理により認可のバイパスが発生します。この脆弱性はリモートから悪用可能で、エクスプロイトが公開されています。1.3.3-beta にアップグレードすることで問題が解決されます。パッチ識別子は aefaabfd7527188bfba3c8c9eee17c316d094802 です。安全のため、影響を受けるコンポーネントを更新してください。

Sz-Admin

• sz-boot-parent 0.9.0 およびそれ以前
• sz-boot-parent 1.0.0
• sz-boot-parent 1.0.1
• sz-boot-parent 1.0.2
• sz-boot-parent 1.1.0
• sz-boot-parent 1.2.0
• sz-boot-parent 1.2.1
• sz-boot-parent 1.2.2
• sz-boot-parent 1.2.3
• sz-boot-parent 1.2.4
• sz-boot-parent 1.2.5
• sz-boot-parent 1.2.6
• sz-boot-parent 1.3.0
• sz-boot-parent 1.3.1
• sz-boot-parent 1.3.2

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• Code : CVE/sz-boot-parent-IDOR_Message_ID_Enumeration.md at main  yuccun/CVE  GitHub

Vulnerability Database

• VulDB : CVE-2026-3185 feiyuchuixue sz-boot-parent API Endpoint sys-message authorization
• VulDB : Submit #754036: feiyuchuixue https://github.com/feiyuchuixue/sz-boot-parent sz-boot-parent <= v1.3.2-beta IDOR

1. 不適切な認可(CWE-285) [その他]
2. ユーザ制御の鍵による認証回避(CWE-639) [NVD評価]
3. ユーザ制御の鍵による認証回避(CWE-639) [その他]

1. CVE-2026-3185

1. National Vulnerability Database (NVD) : CVE-2026-3185
2. 関連文書 : 修：文件上接口加后和 MIME 型白名；模板下接口校路径合法性，非法路径返回提示，防止路径穿越；文件下接口允 …  feiyuchuixue/sz-boot-parent@aefaabf  GitHub
3. 関連文書 : Release v1.3.3-beta  feiyuchuixue/sz-boot-parent  GitHub
4. 関連文書 : GitHub - feiyuchuixue/sz-boot-parent: Sz-Admin：一个源RBAC中后台框架，代用。它合了最新的技，包括后端的Spring Boot 3、JDK 21、Mybatis Flex、Sa-Token、Knife4j和Flyway，以及前端的Vue 3、Vite5、TypeScript和Element Plus，致力于提供一个直、流且功能大的体

• [2026年03月02日]
    掲載