MEDIUMCVE-2016-20053CVSS 5.3

Redaxo CMS 5.2 Cross-Site Request Forgery via users エンドポイント

プラットフォーム

php

コンポーネント

redaxo

修正版

5.2.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2016-20053は、Redaxo CMSのバージョン5.2に存在するクロスサイトリクエストフォージェリ（XSRF）脆弱性です。この脆弱性を悪用されると、攻撃者は認証された管理者を欺き、不正な管理者アカウントを作成することが可能となり、システムへの不正アクセスやデータ改ざんのリスクが高まります。影響を受けるバージョンはRedaxo CMS 5.2です。最新バージョンへのアップデートにより、この脆弱性は解消されます。

影響と攻撃シナリオ

このXSRF脆弱性は、攻撃者が正規の管理者アカウントを乗っ取ることなく、Redaxo CMSの管理者を偽装し、新たな管理者アカウントを作成することを可能にします。攻撃者は作成した管理者アカウントを使用して、Webサイトのコンテンツを改ざんしたり、機密情報を盗み出したり、さらにはシステム全体を制御する可能性があります。攻撃の成功は、管理者が悪意のあるページを閲覧することに依存しますが、ソーシャルエンジニアリングの手法を用いることで、容易に管理者を誘導することが可能です。この脆弱性の悪用は、Webサイトの信頼性を損ない、重大なビジネス被害をもたらす可能性があります。

悪用の状況

この脆弱性は、認証された管理者アカウントの存在に依存するため、攻撃者は管理者をソーシャルエンジニアリングで誘導する必要があります。現時点で、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSRF攻撃は比較的容易に実行可能であり、攻撃のリスクは高いと考えられます。CISA KEVへの登録状況は確認されていません。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Websites and applications relying on Redaxo CMS versions 5.2–5.2 are at risk. This includes organizations with limited security expertise or those who have not regularly updated their CMS installations. Shared hosting environments using Redaxo CMS are particularly vulnerable, as attackers could potentially compromise multiple websites from a single point of entry.

検出手順翻訳中…

• php / web:

curl -I 'http://example.com/users?admin_username=attacker&admin_password=password'

• php / web: Examine access logs for suspicious requests to the /users endpoint with POST data containing adminusername and adminpassword parameters. • php / web: Review Redaxo CMS configuration files for any insecure settings related to user creation or authentication. • generic web: Monitor for new administrative user accounts created without proper authorization.

攻撃タイムライン

2026-04-04Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.02% (6% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントredaxo

ベンダーRedaxo

影響範囲修正版

5.2 – 5.25.2.1

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2026-04-04
公開日2026-04-04
更新日2026-04-06
EPSS 更新日2026-04-12

未パッチ — 公開から50日経過

緩和策と回避策

Redaxo CMS 5.2を使用している場合は、速やかに最新バージョンにアップデートしてください。アップデートが困難な場合は、XSRF対策を強化するための設定変更を検討してください。例えば、CSRFトークンを導入したり、管理者操作の確認を強化したりすることで、攻撃のリスクを軽減できます。また、Webアプリケーションファイアウォール（WAF）を導入し、XSRF攻撃を検知・防御することも有効です。Redaxo CMSのセキュリティに関する最新情報を常に確認し、適切な対策を講じることが重要です。

修正方法

Redaxo CMS を修正されたバージョンにアップデートしてください。具体的なアップデート方法とセキュリティパッチの適用については、Redaxo の公式ドキュメントを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2016-20053 — XSRF in Redaxo CMSとは何ですか？

CVE-2016-20053は、Redaxo CMS 5.2に存在するクロスサイトリクエストフォージェリ（XSRF）脆弱性で、攻撃者が管理者アカウントを不正に作成できる可能性があります。

CVE-2016-20053 in Redaxo CMSの影響はありますか？

Redaxo CMS 5.2を使用している場合、この脆弱性により、Webサイトのコンテンツ改ざん、機密情報漏洩、システム制御といったリスクがあります。

CVE-2016-20053 in Redaxo CMSを修正するにはどうすればよいですか？

Redaxo CMSを最新バージョンにアップデートすることで、この脆弱性を修正できます。アップデートが難しい場合は、XSRF対策を強化してください。

CVE-2016-20053は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、攻撃のリスクは高いと考えられます。

CVE-2016-20053に関するRedaxo CMSの公式アドバイザリはどこで入手できますか？

Redaxo CMSの公式ウェブサイトまたはセキュリティアドバイザリページで、CVE-2016-20053に関する情報を確認してください。