CVE-2026-22194は、GestSupのバージョン0から3.2.60までのシステムに存在するクロスサイトリクエストフォージェリ(CSRF)脆弱性です。この脆弱性を悪用されると、攻撃者は認証済みのユーザーを騙して、そのユーザーの権限で任意の操作を実行させることが可能になります。特に、管理者アカウント作成エンドポイントを標的とすることで、不正な特権アカウントを作成されるリスクがあります。
このCSRF脆弱性は、攻撃者が認証済みのユーザーになりすまして、GestSupシステム上で様々な操作を実行することを可能にします。例えば、攻撃者は管理者アカウントを作成したり、既存のユーザーの権限を変更したり、機密情報を盗み出したりする可能性があります。攻撃者は、フィッシング攻撃や悪意のあるWebサイトを通じて、ユーザーを誘導し、脆弱なGestSupシステムに対してリクエストを送信させることができます。この脆弱性の影響範囲は、GestSupシステムにアクセスできるすべてのユーザーに及びます。攻撃者は、この脆弱性を利用して、システム全体を制御する可能性があります。
CVE-2026-22194は、2026年1月9日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、今後悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。攻撃者は、この脆弱性を利用して、GestSupシステムに不正アクセスを試みる可能性があります。
Organizations utilizing GestSup for any purpose are at risk, particularly those with administrative interfaces accessible over the internet. Shared hosting environments where multiple users share the same GestSup instance are especially vulnerable, as an attacker could potentially compromise the entire hosting account.
• php / web:
curl -I 'http://your-gestsup-domain.com/admin/create_user.php' | grep 'Content-Security-Policy'• generic web:
curl -I 'http://your-gestsup-domain.com/admin/create_user.php' | grep -i 'csrf-token'disclosure
エクスプロイト状況
EPSS
0.01% (1% パーセンタイル)
CISA SSVC
現時点では、CVE-2026-22194に対する公式な修正プログラムは提供されていません。そのため、一時的な緩和策として、CSRFトークンを実装するか、入力検証を強化することを推奨します。また、Webアプリケーションファイアウォール(WAF)を導入し、CSRF攻撃を検知・防御することも有効です。WAFの設定では、不審なリクエストパターンを検出し、ブロックするようにルールを定義してください。さらに、GestSupのアクセス制御を強化し、不要な権限を持つユーザーを最小限に抑えることが重要です。アクセスログを定期的に監視し、異常なアクティビティを早期に発見することも有効です。
GestSup を 3.2.60 より後のバージョンにアップデートしてください。これにより、特権アカウントの作成を可能にする CSRF 脆弱性が修正されます。詳細については、ベンダーのウェブサイトで変更ログを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-22194は、GestSupバージョン0から3.2.60までのシステムに存在するクロスサイトリクエストフォージェリ(CSRF)脆弱性です。攻撃者は、認証済みのユーザーを騙して、そのユーザーの権限で任意の操作を実行させることが可能になります。
GestSupのバージョン0から3.2.60を使用している場合は、この脆弱性の影響を受けます。
現時点では、公式な修正プログラムは提供されていません。CSRFトークンの実装、入力検証の強化、WAFの導入などの緩和策を講じることを推奨します。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、悪用される可能性は否定できません。
GestSupの公式アドバイザリは、GestSupのWebサイトで確認できます。