JVNDB-2026-009083

SuiteCRMにおける相対パストラバーサルの脆弱性

SuiteCRMはオープンソースの企業向け顧客関係管理（CRM）ソフトウェアアプリケーションです。バージョン7.15.1および8.9.3以前の`modules/ModuleBuilder/controller.php`内の`action_exportCustom`関数は、`$modules`および`$name`パラメータに含まれるパストラバーサルシーケンスを適切に無効化していません。これらのパラメータは後に`modules/ModuleBuilder/MB/MBPackage.php`内の`exportCustom`関数に渡され、ファイルの読み書きに使用されるパスの構築に利用されます。そのため、一般的に管理者であるModuleBuilderモジュールへのアクセス権を持つユーザーは、任意の読み取り可能なディレクトリの内容をウェブルートにコピーし、これを読み取り可能にするリクエストを作成することが可能です。`ModuleBuilder`モジュールはバージョン7および8の両方に含まれているため、両メジャーバージョンが影響を受けます。この脆弱性により、攻撃者は任意の読み取り可能なディレクトリをウェブルートにコピーでき、`/etc`などのシステムファイルやウェブサーバのルートディレクトリの内容を含むため、秘密情報や環境変数が露出する可能性があります。バージョン7.15.1および8.9.3でこの問題は修正されています。

SuiteCRM

• SuiteCRM 7.15.1 未満
• SuiteCRM 8.0.0 以上 8.9.3 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Relative Path Traversal via ModuleBuilder Modules ExportCustom Action  Advisory  SuiteCRM/SuiteCRM  GitHub

1. 相対パストラバーサル(CWE-23) [その他]

1. CVE-2026-29098

1. National Vulnerability Database (NVD) : CVE-2026-29098
2. 関連文書 : 7.15.x Releases :: SuiteCRM Documentation

• [2026年03月27日]
    掲載