MEDIUMCVE-2026-1142CVSS 4.3

PHPGurukul News Portal クロスサイトリクエストフォージェリ

プラットフォーム

php

コンポーネント

csrf-add-subadmin-in-news-portal-project-in-php-and-mysql-in-phpgurukul

修正版

1.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

PHPGurukul News Portal 1.0において、クロスサイトリクエスト偽造（XSRF）の脆弱性が確認されています。この脆弱性は、攻撃者がユーザーを意図しない操作を実行させる可能性があります。影響を受けるバージョンは1.0です。現在、PoCが公開されており、攻撃のリスクが高いため、早急な対応が必要です。

影響と攻撃シナリオ

このXSRF脆弱性を悪用されると、攻撃者は認証済みユーザーになりすまして、ユーザーの権限で任意の操作を実行できます。例えば、ユーザーのプロファイルを変更したり、機密情報を盗んだり、不正なトランザクションを実行したりすることが可能です。攻撃者は、悪意のあるウェブサイトやメールを通じて、ユーザーを偽のフォームに誘導し、ユーザーが知らないうちに操作を実行させることができます。この脆弱性は、ユーザーのデータ漏洩や、システムへの不正アクセスにつながる可能性があります。

悪用の状況

CVE-2026-1142は、既にPoCが公開されており、攻撃のリスクが高い状態です。CISAのKEVリストへの登録状況は不明ですが、PoCの存在から、攻撃者による悪用が懸念されます。NVDの公開日は2026年1月19日です。

リスク対象者翻訳中…

Websites and organizations using PHPGurukul News Portal version 1.0 are at immediate risk. Shared hosting environments are particularly vulnerable, as a compromised account on one site can potentially impact other sites hosted on the same server. Administrators who haven't implemented robust security practices are also at higher risk.

検出手順翻訳中…

• php: Examine access logs for requests originating from unusual sources or containing suspicious parameters.

grep -i 'csrf_token' /var/log/apache2/access.log | grep -v 'localhost'

• generic web: Check response headers for unexpected redirects or changes in session cookies.

curl -I https://example.com/ | grep -i 'Location'

攻撃タイムライン

2026-01-19Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.06% (17% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントcsrf-add-subadmin-in-news-portal-project-in-php-and-mysql-in-phpgurukul

ベンダーPHPGurukul

影響範囲修正版

1.0 – 1.01.0.1

弱点分類 (CWE)

CWE-352 CWE-862

タイムライン

予約済み2026-01-18
公開日2026-01-19
更新日2026-02-23
EPSS 更新日2026-03-23

未パッチ — 公開から125日経過

緩和策と回避策

この脆弱性への対応策として、まずPHPGurukul News Portalを最新バージョンにアップデートすることを推奨します。アップデートが利用できない場合は、入力検証を厳格化し、すべての重要な操作にCSRFトークンを実装してください。WAF（Web Application Firewall）を導入し、XSRF攻撃を検知・防御することも有効です。また、ユーザーに対して、不審なウェブサイトへのアクセスや、信頼できない送信元からのメールの開封を避けるよう注意喚起することも重要です。

修正方法

パッチが適用されたバージョンにアップデートするか、ベンダーが推奨するセキュリティ対策を適用して、Cross-Site Request Forgery (CSRF) の脆弱性を軽減してください。詳細については、ベンダーのウェブサイトを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-1142 — XSRFはPHPGurukul News Portalで何ですか？

CVE-2026-1142は、PHPGurukul News Portal 1.0におけるクロスサイトリクエスト偽造（XSRF）の脆弱性です。攻撃者は、この脆弱性を悪用して、ユーザーを意図しない操作を実行させることができます。

CVE-2026-1142でPHPGurukul News Portalを使用していますか？

PHPGurukul News Portalのバージョンが1.0の場合、影響を受けます。最新バージョンにアップデートするか、適切な入力検証とCSRFトークンの実装を行ってください。

CVE-2026-1142でPHPGurukul News Portalを修正するにはどうすればよいですか？

PHPGurukul News Portalを最新バージョンにアップデートすることを推奨します。アップデートが利用できない場合は、入力検証を厳格化し、すべての重要な操作にCSRFトークンを実装してください。

CVE-2026-1142は積極的に悪用されていますか？

PoCが公開されているため、攻撃のリスクが高い状態です。攻撃者による悪用が懸念されます。

CVE-2026-1142のPHPGurukul News Portalの公式アドバイザリはどこで入手できますか？

PHPGurukul News Portalの公式ウェブサイトまたはセキュリティアドバイザリページで確認してください。