JVNDB-2026-010685

APTRS (Automated Penetration Testing Reporting System)における動的に決定されたオブジェクト属性の不適切に制御された変更に関する脆弱性

APTRS（自動化ペネトレーションテスト報告システム）は、ペネトレーションテスターやセキュリティ組織向けに設計されたPythonおよびDjangoベースの自動報告ツールです。バージョン2.0.1以前では、edit_userエンドポイント（POST /api/auth/edituser/pk）にアクセスできる任意のユーザーが、リクエストボディに「is_superuser": true」を含めることで、自身のアカウント（または他の任意のアカウント）をスーパーユーザーに昇格させることが可能でした。根本原因は、CustomUserSerializerがフィールドリストにis_superuserを明示的に含めている一方で、read_only_fieldsから除外しており、これにより書き込み可能なフィールドとなっていたことにあります。edit_userビューは非スーパーユーザーがこのフィールドを変更することを防ぐ追加の検証を行っていませんでした。is_superuserがtrueに設定されると、再認証を必要とせずにアプリケーションの全機能に無制限でアクセスできるようになりました。この問題はバージョン2.0.1で修正されています。

APTRS (Automated Penetration Testing Reporting System)

• APTRS (Automated Penetration Testing Reporting System) 2.0.1 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Privilege Escalation via Mass Assignment of is_superuser in User Edit Endpoint  Advisory  APTRS/APTRS  GitHub

1. 動的に決定されたオブジェクト属性の不適切に制御された変更(CWE-915) [その他]
2. 情報不足(CWE-noinfo) [NVD評価]

1. CVE-2026-34406

1. National Vulnerability Database (NVD) : CVE-2026-34406
2. 関連文書 : Release 2.0.1  APTRS/APTRS  GitHub
3. 関連文書 : Fixed GHSA-gv25-wp4h-9c35  APTRS/APTRS@d1f1b3a  GitHub

• [2026年04月13日]
    掲載