MEDIUMCVE-2021-47754CVSS 6.5

Arunna 1.0.0 - 複数のクロスサイトリクエストフォージェリ (CSRF)

プラットフォーム

php

コンポーネント

arunna

修正版

1.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2021-47754は、Arunnaのバージョン1.0.0に存在するクロスサイトリクエストフォージェリ（CSRF）脆弱性です。攻撃者は、認証済みのユーザーを欺くことで、ユーザープロファイルの設定を不正に操作することが可能になります。この脆弱性は、ユーザーのパスワード、メールアドレス、さらには管理者権限の変更といった深刻な影響を及ぼす可能性があります。脆弱性は2026年1月15日に公開され、最新バージョンへのアップデートで修正されています。

影響と攻撃シナリオ

このCSRF脆弱性を悪用されると、攻撃者は認証済みのユーザーになりすまし、ユーザープロファイルの設定を自由に書き換えることができます。例えば、攻撃者はユーザーのパスワードを勝手に変更したり、メールアドレスを攻撃者の管理するアドレスに変更したりすることが可能です。さらに、ユーザーが管理者権限を持っている場合、攻撃者は管理者権限を奪取し、システム全体を制御する可能性も否定できません。この脆弱性は、ユーザーの個人情報漏洩や、システムへの不正アクセスといった重大な被害をもたらす可能性があります。

悪用の状況

この脆弱性は、KEV（Know Exploit Vulnerabilities）に登録されていません。公開されているPoC（Proof of Concept）は確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、注意が必要です。NVD（National Vulnerability Database）およびCISA（Cybersecurity and Infrastructure Security Agency）の情報を定期的に確認し、最新の情報を把握するようにしてください。

リスク対象者翻訳中…

Organizations and individuals using Arunna version 1.0.0 are at direct risk. Specifically, environments where Arunna is deployed with default configurations or where user accounts have elevated privileges are particularly vulnerable. Shared hosting environments utilizing Arunna should be carefully monitored and secured.

検出手順翻訳中…

• php / web:

curl -I <arunna_url>/profile.php | grep -i 'csrf-token'

• generic web:

curl -I <arunna_url>/profile.php | grep -i 'set-cookie'

• generic web:

 grep -r 'profile.php' /var/log/apache2/access.log | grep -i 'csrf-token'

攻撃タイムライン

2026-01-15Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.02% (6% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントarunna

ベンダーArunna

影響範囲修正版

1.0.0 – 1.0.01.0.1

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2026-01-10
公開日2026-01-15
更新日2026-04-07
EPSS 更新日2026-03-23

未パッチ — 公開から129日経過

緩和策と回避策

この脆弱性への対応として、Arunnaのバージョンを最新版にアップデートすることを推奨します。アップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）を導入し、CSRF攻撃を検知・防御するルールを設定してください。また、ユーザーに対して、不審なリンクをクリックしない、信頼できないWebサイトへのアクセスを避けるといったセキュリティ意識の向上も重要です。さらに、CSRFトークンの導入や、ユーザーの操作に対して確認画面を表示するなどの対策も有効です。

修正方法

CSRF 脆弱性を修正する Arunna の修正済みバージョンにアップデートしてください。CSRF 攻撃を防ぐためのセキュリティ対策を見直し、強化してください。例えば、すべてのフォームと機密性の高いリクエストに CSRF トークンを実装してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2021-47754 — CSRF in Arunnaとは何ですか？

CVE-2021-47754は、Arunnaのバージョン1.0.0に存在するクロスサイトリクエストフォージェリ（CSRF）脆弱性で、認証済みユーザーを騙してプロファイル設定を不正に変更される可能性があります。

CVE-2021-47754 in Arunnaの影響はありますか？

はい、Arunnaのバージョン1.0.0を使用している場合、この脆弱性により、パスワードやメールアドレス、管理者権限が不正に変更される可能性があります。

CVE-2021-47754 in Arunnaを修正するにはどうすればよいですか？

Arunnaのバージョンを最新版にアップデートすることで、この脆弱性を修正できます。アップデートが難しい場合は、WAFの導入やセキュリティ意識の向上などの対策を検討してください。

CVE-2021-47754は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、注意が必要です。

CVE-2021-47754に関するArunnaの公式アドバイザリはどこで入手できますか？

Arunnaの公式アドバイザリは、Arunnaの公式サイトまたは関連するセキュリティ情報サイトで確認できます。