MEDIUMCVE-2025-58053

Galette には権限昇格の脆弱性があります

Q: CVE-2025-58053 — 特権昇格 in Galetteとは何ですか？

CVE-2025-58053は、Galetteのバージョン1.2.0以前において、偽造されたPOSTリクエストによって特権を昇格させることができる脆弱性です。

Q: CVE-2025-58053 in Galetteで影響を受けますか？

Galetteのバージョンが1.2.0以前を使用している場合、この脆弱性の影響を受けます。

Q: CVE-2025-58053 in Galetteを修正するにはどうすればよいですか？

Galetteをバージョン1.2.0以降にアップデートすることで、この脆弱性を修正できます。

Q: CVE-2025-58053は積極的に悪用されていますか？

現時点では、公開されている悪用事例は確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。

Q: CVE-2025-58053に関するGaletteの公式アドバイザリはどこで入手できますか？

Galetteの公式ウェブサイトまたはセキュリティアナウンスメントをご確認ください。

プラットフォーム

php

コンポーネント

galette/galette

修正版

1.2.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-58053は、Galetteのバージョン1.2.0以前に存在する特権昇格の脆弱性です。攻撃者は、偽造されたPOSTリクエストを送信することで、既存のアカウントを更新し、不正に高い権限を獲得する可能性があります。この脆弱性は、Galetteのバージョン1.2.0で修正されています。最新バージョンへのアップデートを強く推奨します。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はGaletteシステム内で管理者権限を獲得し、会員データを改ざん、削除、または不正にアクセスする可能性があります。さらに、システム設定を変更したり、他のユーザーアカウントを操作したりすることも可能になります。この脆弱性は、Galetteを運用する非営利団体にとって、会員情報の機密性やシステムの安定性を脅かす重大なリスクとなります。攻撃者は、会員データベースへの不正アクセスや、システムの完全な制御を試みる可能性があります。

悪用の状況

この脆弱性は、2025年12月19日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISA KEVリストへの登録状況は不明です。Galetteのセキュリティコミュニティからの情報公開に注意し、最新のセキュリティ情報を常に確認することが重要です。

リスク対象者翻訳中…

Non-profit organizations utilizing Galette for membership management are at risk. Specifically, deployments with older versions of Galette (≤ 1.2.0) and those lacking robust input validation on account update forms are particularly vulnerable. Shared hosting environments where multiple Galette instances share resources could also experience broader impact if one instance is compromised.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'POST /account/update' /var/www/galette/app/config/routing.php

• generic web:

curl -I http://your-galette-instance/account/update | grep HTTP/1.1 200 OK

攻撃タイムライン

2025-12-19Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.07% (20% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントgalette/galette

ベンダーgalette

影響範囲修正版

< 1.2.0 – < 1.2.01.2.1

弱点分類 (CWE)

CWE-269

タイムライン

予約済み2025-08-22
公開日2025-12-19
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最も効果的な対策は、Galetteをバージョン1.2.0以降にアップデートすることです。アップデートが直ちに実行できない場合は、入力検証を強化し、POSTリクエストの送信元を厳密にチェックするなどの対策を講じることで、攻撃のリスクを軽減できます。また、WAF（Web Application Firewall）を導入し、不正なPOSTリクエストを検知・遮断することも有効です。アップデート後、システムにログインし、会員データに不正な変更がないか確認することで、脆弱性の影響を検証できます。

修正方法翻訳中…

Actualice Galette a la versión 1.2.0 o superior. Esta versión corrige la vulnerabilidad de escalada de privilegios. La actualización se puede realizar a través del panel de administración de Galette o descargando la nueva versión del sitio web oficial y reemplazando los archivos.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-58053 — 特権昇格 in Galetteとは何ですか？

CVE-2025-58053は、Galetteのバージョン1.2.0以前において、偽造されたPOSTリクエストによって特権を昇格させることができる脆弱性です。

CVE-2025-58053 in Galetteで影響を受けますか？

Galetteのバージョンが1.2.0以前を使用している場合、この脆弱性の影響を受けます。

CVE-2025-58053 in Galetteを修正するにはどうすればよいですか？

Galetteをバージョン1.2.0以降にアップデートすることで、この脆弱性を修正できます。

CVE-2025-58053は積極的に悪用されていますか？

現時点では、公開されている悪用事例は確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。

CVE-2025-58053に関するGaletteの公式アドバイザリはどこで入手できますか？

Galetteの公式ウェブサイトまたはセキュリティアナウンスメントをご確認ください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン CVEを検索