LOWCVE-2024-6936CVSS 2.7

formtools.org Form Tools 設定コードインジェクション

プラットフォーム

php

コンポーネント

mirage

修正版

3.1.2

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

Form Tools 3.1.1において、設定ハンドラコンポーネントの/admin/settings/index.php?page=accountsファイル処理にコードインジェクションの脆弱性が存在します。この脆弱性は、Page Theme引数を悪用することで攻撃者が任意のコードを実行する可能性があります。影響を受けるバージョンは3.1.1で、3.1.2へのアップデートで修正されています。

影響と攻撃シナリオ

このコードインジェクション脆弱性を悪用されると、攻撃者はForm Toolsの管理インターフェースに不正アクセスし、設定を変更したり、機密情報を盗み出したりする可能性があります。さらに、サーバー上で任意のコマンドを実行し、システム全体への影響を及ぼすことも考えられます。この脆弱性はリモートから攻撃可能であり、攻撃者がForm Toolsの管理権限を取得した場合、Webサイト全体の制御を奪われるリスクがあります。この脆弱性は既に公開されており、悪用される可能性が高いため、早急な対応が必要です。

悪用の状況

この脆弱性は既に公開されており、悪用される可能性が高いです。CISAのKEVリストには登録されていません。NVDは2024年7月21日に公開されました。ベンダーは早期に脆弱性の報告を受けましたが、対応していません。

リスク対象者翻訳中…

Organizations using Form Tools 3.1.1 are at risk, particularly those hosting the application on publicly accessible servers or shared hosting environments. Those using Form Tools to collect and store sensitive user data are at higher risk due to the potential for data compromise.

検出手順翻訳中…

• php: Examine web server access logs for requests to /admin/settings/index.php?page=accounts with unusual or malformed 'Page Theme' parameters. Use grep to search for patterns indicative of code injection attempts.

grep 'Page Theme=[^a-zA-Z0-9_]' /var/log/apache2/access.log

• generic web: Use curl to test the /admin/settings/index.php?page=accounts endpoint with various payloads in the 'Page Theme' parameter and observe the server's response for signs of code execution.

curl 'http://your-formtools-server/admin/settings/index.php?page=accounts&Page Theme=<script>alert("XSS")</script>' -v

攻撃タイムライン

2024-07-21Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.11% (29% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmirage

ベンダーformtools.org

影響範囲修正版

3.1.1 – 3.1.13.1.2

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2024-07-20
公開日2024-07-21
更新日2024-08-01
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応として、Form Toolsをバージョン3.1.2にアップデートすることを推奨します。アップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）を使用して、/admin/settings/index.php?page=accountsへの不正なアクセスを遮断するルールを実装してください。また、Page Theme引数に対する入力検証を強化し、不正な値が渡されないようにすることも有効です。アップデート後、Form Toolsの管理インターフェースにログインし、設定が正常に反映されていることを確認してください。

修正方法

Form Tools を 3.1.1 以降のバージョンにアップデートしてください。もし修正バージョンが存在する場合です。修正バージョンが利用できない場合は、解決策が公開されるまで、影響を受けるコンポーネントを無効化または削除することを検討してください。ベンダーのセキュリティアップデートを監視してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-6936 — コードインジェクション in Form Toolsとは何ですか？

CVE-2024-6936は、Form Tools 3.1.1の/admin/settings/index.php?page=accountsファイル処理におけるコードインジェクションの脆弱性です。Page Theme引数の操作により攻撃者が任意のコードを実行する可能性があります。

CVE-2024-6936 in Form Toolsに影響を受けますか？

Form Toolsのバージョンが3.1.1である場合、この脆弱性に影響を受ける可能性があります。バージョン3.1.2にアップデートすることで修正されます。

CVE-2024-6936 in Form Toolsを修正するにはどうすればよいですか？

Form Toolsをバージョン3.1.2にアップデートしてください。アップデートが困難な場合は、WAFを使用して不正なアクセスを遮断するルールを実装してください。

CVE-2024-6936は積極的に悪用されていますか？

この脆弱性は既に公開されており、悪用される可能性が高いです。早急な対応が必要です。

CVE-2024-6936のForm Tools公式アドバイザリはどこで入手できますか？

Form Toolsの公式アドバイザリは、https://formtools.org/を参照してください。