MEDIUMCVE-2025-57759CVSS 4.3

Contao はページおよび記事のフィールドに対する権限を適切に管理していません

Q: CVE-2025-57759 — 権限昇格 in Contao CMS とは何ですか？

CVE-2025-57759 は、Contao CMS における権限昇格の脆弱性であり、認証されたユーザーが本来許可されていないページや記事のフィールドを編集できてしまう可能性があります。

Q: CVE-2025-57759 in Contao CMS に影響を受けますか？

Contao CMS のバージョンが 5.3.9 以前の場合は、この脆弱性に影響を受ける可能性があります。

Q: CVE-2025-57759 in Contao CMS をどのように修正しますか？

Contao CMS をバージョン 5.3.38 または 5.6.1 にアップデートすることで、この脆弱性を修正できます。

Q: CVE-2025-57759 の Contao CMS の公式アドバイザリはどこで入手できますか？

Contao CMS の公式アドバイザリは、[https://github.com/contao/contao/issues/new/choose](https://github.com/contao/contao/issues/new/choose) で確認できます。

プラットフォーム

php

コンポーネント

contao/core-bundle

修正版

5.3.1

5.4.1

5.3.38

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-57759 は、Contao CMS における権限昇格の脆弱性です。この脆弱性により、特定の条件下で、バックエンドユーザーが本来許可されていないページや記事のフィールドを編集できてしまう可能性があります。影響を受けるバージョンは Contao CMS 5.3.9 以前です。この問題を解決するには、Contao CMS をバージョン 5.3.38 または 5.6.1 にアップデートしてください。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者は認証されたバックエンドユーザーになりすまして、Webサイトのコンテンツを不正に改ざんする可能性があります。これにより、機密情報の漏洩、Webサイトの信頼性の低下、さらにはWebサイトの完全な制御喪失につながる可能性があります。攻撃者は、不正なコンテンツを挿入したり、ユーザーをリダイレクトさせたり、悪意のあるスクリプトを実行したりする可能性があります。この脆弱性は、特に権限管理が不十分な環境で、重大なセキュリティリスクをもたらします。

悪用の状況

この脆弱性は、公開されており、悪用される可能性があります。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、攻撃者による悪用が懸念されます。CISA KEV カタログへの登録状況は不明です。攻撃者は、認証されたユーザーの権限を悪用して、Webサイトのコンテンツを改ざんする可能性があります。

リスク対象者翻訳中…

Websites and organizations using Contao CMS versions 5.3.9 and earlier are at risk. This includes those running shared hosting environments where CMS updates are not managed by the hosting provider. Those with custom Contao installations or legacy configurations are particularly vulnerable if they have not been proactively monitoring security advisories.

検出手順翻訳中…

• php / server:

find /var/www/contao/ -name 'contao/core-bundle' -type d

• php / server:

ps aux | grep -i contao

• generic web: Check Contao CMS version exposed in HTTP headers or website footer.

攻撃タイムライン

2025-08-28Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.04% (11% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントcontao/core-bundle

ベンダーosv

影響範囲修正版

>= 5.3.0, < 5.3.38 – >= 5.3.0, < 5.3.385.3.1

>= 5.4.0-RC1, < 5.6.1 – >= 5.4.0-RC1, < 5.6.15.4.1

5.3.05.3.38

弱点分類 (CWE)

CWE-269

タイムライン

予約済み2025-08-19
公開日2025-08-28
EPSS 更新日2026-03-23

公開後0日でパッチ適用

緩和策と回避策

この脆弱性への最も効果的な対策は、Contao CMS をバージョン 5.3.38 または 5.6.1 にアップデートすることです。アップデートが利用できない場合、またはアップデートによってシステムに影響が出る可能性がある場合は、一時的な回避策として、ページや記事の編集権限を厳格に制限することを検討してください。また、Webアプリケーションファイアウォール (WAF) を導入し、不正なアクセスを検知・防御することも有効です。アップデート後、システムが正常に動作していることを確認し、権限昇格の兆候がないか監視してください。

修正方法翻訳中…

Actualice Contao a la versión 5.3.38 o superior. Esta actualización corrige la vulnerabilidad de gestión de privilegios que permite a usuarios no autorizados editar campos de páginas y artículos. La actualización se puede realizar a través del administrador de Contao o descargando la nueva versión del sitio web oficial.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-57759 — 権限昇格 in Contao CMS とは何ですか？