00:00
-00:00
#20260402 baserCMSやSiYuanでRCEの脅威!
7
■ 今日のハイライト
今日はシステム乗っ取りに直結するリモートコード実行(RCE)の話題を中心に、3件の重要なセキュリティニュースを深掘りしてお届けします。ご自身のプロジェクトや利用中のアプリが該当していないか、ぜひチェックしてください。
▼ 1. baserCMSにおける複数の重大な脆弱性(RCEやSQLiなど)
・CVE-2026-21861, CVE-2026-30940, CVE-2026-30880 ほか
国内でも多くのウェブサイトで導入されている国産CMS「baserCMS」において、サーバーを完全に制御されてしまう恐れのある致命的な脆弱性が複数発見されました。
特に危険なのが、システムのコアアップデート機能に存在した「OSコマンドインジェクション」です。管理画面から送信された入力値が、安全かどうかの確認(サニタイズ)を行わないまま裏側のプログラムに渡されていたため、権限を持ったユーザーであれば任意のコマンドをサーバー上で実行できてしまう状態でした。
また、テーマファイルの管理機能を利用したパストラバーサルの脆弱性もあり、悪意のあるPHPファイルを意図しない場所に書き込み、それを実行させることで同じくサーバーの乗っ取りが可能となっていました。
すでに修正プログラムが提供されているため、運用中の担当者の方はバージョンアップ作業を最優先で行うことを推奨します。
▼ 2. ノートアプリ「SiYuan」のクロスオリジンRCE
・CVE-2026-34449
プライバシーを重視したオフライン対応のノートアプリケーション「SiYuan」に、非常にトリッキーで危険な脆弱性が見つかりました。
SiYuanはローカル環境でAPIサーバーを立ち上げて動作する仕組みを持っていますが、外部からの通信を許可するCORS(Cross-Origin Resource Sharing)の設定が極めて甘く、あらゆるサイトからのアクセスを許容する状態でした。
この設定不備により、ユーザーがSiYuanを起動したままブラウザで「悪意のあるウェブサイト」を開くだけで、攻撃者が用意した不正なスクリプトがローカルのSiYuanに送り込まれてしまいます。結果として、アプリの権限を利用してOS上で任意のコマンドが実行されてしまう(RCE)という、まさにドライブバイダウンロードのような手口が成立します。すぐに最新の修正版へアップデートしてください。
▼ 3. FastMCPにおけるSSRFおよびパストラバーサル
・CVE-2026-32871
AI分野で注目を集めるModel Context Protocol(MCP)のサーバーを構築するフレームワーク「FastMCP」で、サーバーサイド・リクエスト・フォージェリ(SSRF)などの脆弱性が報告されました。
OpenAPIの仕様を読み込んでAPIを構築する機能において、リクエストURLを組み立てる処理に欠陥がありました。これを悪用されると、攻撃者はMCPサーバーを踏み台にして、本来は外部からアクセスできない社内ネットワークや内部データベースに対して不正なリクエストを送信することができてしまいます。AIエージェントの普及に伴い、こうした連携部分の脆弱性は内部情報漏洩の大きなリスクとなります。該当システムを運用している場合は、フレームワークの更新と併せてネットワークの分離設定(セグメンテーション)を見直すことが重要です。
■ 本日のまとめ
本日は入力値のチェック漏れや設定の不備が招く、クリティカルな脆弱性について解説しました。攻撃の手法は日々高度化していますが、最新パッチの適用やアクセス権限の最小化といった基本対策が最大の防御となります。
#セキュリティ #エンジニア #ITニュース #脆弱性 #脆弱性情報 #baserCMS #SiYuan #FastMCP #RCE #SSRF
Data sources: GitHub Advisory Database (CC-BY 4.0)
6時間前
このチャンネルの新着放送
stand.fmの無料アプリでもっと便利に
放送が更新されたらプッシュでお知らせされるので最新の放送を聞き逃さない。
バックグラウンド再生で他のアプリを使用しながら、放送やライブが聴ける。
放送やライブ、コミュニティでコメントが送れて配信者とコミュニケーションができる。
アプリだけでかんたんに音声を収録して投稿できて音声の編集もできる。
stand.fmメディア
JASRAC許諾番号
9024598002Y31016
9024598004Y31016
NexTone許諾番号
000006134
© 2026 stand.fm, Inc.