JVNDB-2026-007783

Craft CMSにおけるクラスまたはコードを選択する外部から制御された入力の使用に関する脆弱性

Craft CMSはコンテンツ管理システム（CMS）です。バージョン5.6.0から5.9.11未満のsrc/controllers/EntryTypesController.phpにおいて、parse_strから取得した$settings配列がComponent::cleanseConfig()を経由せずに直接Craft::configure()に渡されます。これにより、'as'または'on'で始まるキーを介してYii2のビヘイビアやイベントハンドラを注入できるため、元のアドバイザリと同様の攻撃ベクターとなります。この攻撃を成立させるには、Craftのコントロールパネル管理者権限が必要であり、かつallowAdminChangesが有効である必要があります。この問題はバージョン5.9.11で修正されました。

Craft CMS

• Craft CMS 5.6.0 以上 5.9.11 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Potential authenticated Remote Code Execution via malicious attached Behavior  Advisory  craftcms/cms  GitHub
• GitHub : Incomplete fix for GHSA-7jx7-3846-m7w7: Behavior injection RCE via EntryTypesController  Advisory  craftcms/cms  GitHub

1. クラスまたはコードを選択する外部から制御された入力の使用(CWE-470) [その他]

1. CVE-2026-32263

1. National Vulnerability Database (NVD) : CVE-2026-32263
2. 関連文書 : Fixed GHSA-qx2q-q59v-wf3j  craftcms/cms@d37389d  GitHub

• [2026年03月19日]
    掲載