UNKNOWNCVE-2026-28228
CVE-2026-28228: OpenOLAT RCEの脆弱性 (重大度: HIGH)
プラットフォーム
java
コンポーネント
openolat
CVE-2026-28228は、OpenOLATにおけるリモートコード実行(RCE)の脆弱性です。認証されたAuthorロールのユーザーが、リマインダーメールのテンプレートにVelocityディレクティブを挿入できます。このディレクティブがサーバー側で評価されるため、OSコマンドを実行される可能性があります。影響を受けるバージョンは20.2.5未満です。この脆弱性はバージョン20.2.5で修正されました。
修正方法
OpenOLATをバージョン19.1.31、20.1.18、20.2.5、またはそれ以降のバージョンにアップデートしてください。これにより、Velocityテンプレートにおけるサーバーサイドテンプレートインジェクションの脆弱性が修正されます。
よくある質問
CVE-2026-28228とは何ですか?
OpenOLATにおいて、認証されたユーザーがリマインダーメールテンプレートにVelocityディレクティブを挿入し、リモートからコードを実行できる脆弱性です。
この脆弱性の影響を受けますか?
OpenOLATのバージョンが20.2.5未満の場合、影響を受ける可能性があります。特に、Authorロールを持つユーザーがいる場合は注意が必要です。
どのように修正できますか?
OpenOLATをバージョン20.2.5以降にアップデートしてください。これにより、Velocityディレクティブの挿入によるRCE攻撃が防止されます。