LOWCVE-2026-1588CVSS 2.7

jishenghua jshERP installByPath インストールパストラバーサル

プラットフォーム

java

コンポーネント

jsherp

修正版

3.0.1

3.1.1

3.2.1

3.3.1

3.4.1

3.5.1

3.6.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-1588は、jshERPのバージョン3.0から3.6に存在するパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はシステム上の任意のファイルにアクセスできる可能性があります。現在、この問題に関するベンダーからの対応は確認されていません。攻撃者は/jshERP-boot/plugin/installByPathのinstall関数を悪用し、パス引数を操作することで脆弱性を引き起こします。

影響と攻撃シナリオ

この脆弱性は、攻撃者がjshERPサーバー上の機密情報を含むファイルにアクセスすることを可能にします。例えば、設定ファイル、データベースのバックアップ、または他の機密データが漏洩する可能性があります。攻撃者は、このアクセス権を利用して、システムの設定を変更したり、他のシステムへの攻撃の足がかりにしたりする可能性があります。公開されているエクスプロイトコードが存在するため、悪用されるリスクは高いと考えられます。攻撃者は、パス・トラバーサルを利用して、本来アクセスできないファイルにアクセスし、システムを制御しようと試みる可能性があります。

悪用の状況

CVE-2026-1588は、2026年1月29日に公開されました。既にエクスプロイトコードが公開されており、悪用されるリスクが高いと考えられます。CISA KEVカタログへの登録状況は不明です。この脆弱性は、パス・トラバーサル攻撃の典型的なパターンに従っており、他の同様の脆弱性と同様の攻撃手法が利用される可能性があります。

リスク対象者翻訳中…

Organizations utilizing jshERP for their ERP needs, particularly those running versions 3.0 through 3.6, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromise of one user's jshERP installation could potentially expose data for other users on the same server.

検出手順翻訳中…

• linux / server: Monitor access logs for requests containing directory traversal sequences (e.g., ../). Use journalctl to filter for errors related to file access attempts.

journalctl -u jshERP -g 'path traversal'

• generic web: Use curl to test for path traversal vulnerabilities by appending directory traversal sequences to the vulnerable endpoint.

curl 'http://<jshERP_server>/jshERP-boot/plugin/installByPath?path=../../../../etc/passwd'

攻撃タイムライン

2026-01-29Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.07% (22% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントjsherp

ベンダーjishenghua

影響範囲修正版

3.0 – 3.03.0.1

3.1 – 3.13.1.1

3.2 – 3.23.2.1

3.3 – 3.33.3.1

3.4 – 3.43.4.1

3.5 – 3.53.5.1

3.6 – 3.63.6.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-01-29
公開日2026-01-29
更新日2026-02-23
EPSS 更新日2026-03-23

未パッチ — 公開から115日経過

緩和策と回避策

jshERPのバージョンアップが可能な場合は、速やかに最新バージョンに更新してください。バージョンアップが困難な場合は、ファイルシステムのアクセス権を適切に設定し、攻撃者が悪用できる可能性のあるファイルへのアクセスを制限してください。また、Webアプリケーションファイアウォール（WAF）を導入し、パス・トラバーサル攻撃を検知・防御するルールを設定することも有効です。アクセスログを監視し、不審なアクセスパターンを検出することも重要です。攻撃を検知した場合は、直ちに影響を受けるシステムを隔離し、インシデントレスポンス計画を実行してください。

修正方法

jshERP を 3.6 以降のバージョンにアップデートし、パストラバーサル脆弱性を修正してください。利用可能なバージョンがない場合は、パッチまたは代替手段についてベンダーに連絡することをお勧めします。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-1588 — パス・トラバーサルはjshERPで何ですか？

CVE-2026-1588は、jshERPのバージョン3.0から3.6における、攻撃者が任意のファイルにアクセスできるパス・トラバーサル脆弱性です。

CVE-2026-1588でjshERPを使用しています。影響を受けますか？

jshERPのバージョンが3.0から3.6の場合は、この脆弱性の影響を受けます。速やかにバージョンアップまたは緩和策を検討してください。

CVE-2026-1588でjshERPを修正するにはどうすればよいですか？

可能な限り、jshERPを最新バージョンに更新してください。バージョンアップが難しい場合は、ファイルシステムのアクセス権を制限し、WAFを導入するなど、緩和策を検討してください。

CVE-2026-1588は積極的に悪用されていますか？

エクスプロイトコードが公開されており、悪用されるリスクは高いと考えられます。

CVE-2026-1588のjshERP公式アドバイザリはどこで入手できますか？

jshERPの公式アドバイザリは、プロジェクトのGitHubリポジトリまたは公式サイトで確認してください。