プラットフォーム
php
コンポーネント
ci4-cms-erp/ci4ms
修正版
0.28.6
0.28.5.0
CVE-2026-25510は、ci4-cms-erp/ci4msにおいて発見されたリモートコード実行(RCE)の脆弱性です。認証されたユーザーがファイル編集権限を持っている場合、悪意のあるPHPコードをサーバーにアップロードし、実行することが可能です。この脆弱性は、バージョン0.28.4.0以前のci4-cms-erp/ci4msに影響を与えます。バージョン0.28.5.0で修正されています。
この脆弱性を悪用されると、攻撃者は認証されたユーザーとしてシステムに侵入し、任意のPHPコードを実行できます。これにより、機密情報の窃取、システムの改ざん、さらには完全なシステム制御の奪取といった深刻な被害が発生する可能性があります。攻撃者は、ファイル作成エンドポイントを悪用して、ウェブサーバーの公開ディレクトリに悪意のあるPHPファイルをアップロードし、ブラウザ経由でアクセスすることでコードを実行できます。この攻撃は、Log4Shellのようなサプライチェーン攻撃のパターンに類似しており、広範囲に影響を及ぼす可能性があります。
CVE-2026-25510は、2026年2月2日に公開されました。現時点では、この脆弱性を悪用した具体的な事例は確認されていませんが、RCEの脆弱性であるため、攻撃者による悪用が懸念されます。公開されているPoCは確認されていません。NVDおよびCISAの情報を確認し、最新の状況を把握することが重要です。
Organizations using ci4-cms-erp/ci4ms in production environments, particularly those with multiple users having file editor permissions, are at significant risk. Shared hosting environments where multiple users share the same server and file system are especially vulnerable.
• php: Examine web server access logs for requests to /backend/fileeditor/createFile and /backend/fileeditor/save from authenticated users. Look for unusual file extensions (e.g., .php) being created in web-accessible directories like /public.
grep -i 'fileeditor/createFile|fileeditor/save' /var/log/apache2/access.log• php: Check the file system for newly created PHP files in web-accessible directories (e.g., /public) with suspicious names or content.
find /var/www/html/public -name '*.php' -newermt '2026-02-02'• generic web: Monitor for unusual PHP process executions on the server.
ps aux | grep phpdisclosure
エクスプロイト状況
EPSS
0.13% (33% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、ci4-cms-erp/ci4msをバージョン0.28.5.0にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合、ファイル編集機能のアクセス制御を強化し、信頼できないユーザーからのファイルアップロードを制限してください。WAF(Web Application Firewall)を導入し、悪意のあるPHPファイルのアップロードを検知・ブロックするルールを設定することも有効です。また、ファイルアップロードディレクトリのパーミッションを適切に設定し、ウェブサーバーが書き込みできないように制限することも重要です。アップデート後、ファイル編集機能が正常に動作することを確認してください。
ci4ms をバージョン 0.28.5.0 以降にアップデートしてください。このバージョンには、リモートコード実行の脆弱性に対する修正が含まれています。アップデートにより、認証されたファイル編集権限を持つユーザーがサーバー上で任意の PHP コードを実行することを防ぎます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-25510は、ci4-cms-erp/ci4msのバージョン0.28.4.0以前に認証されたユーザーがファイル編集権限を持つ場合にリモートコード実行(RCE)を可能にする脆弱性です。攻撃者はPHPコードをアップロード・実行できます。
はい、バージョン0.28.4.0以前のci4-cms-erp/ci4msを使用している場合は影響を受けます。攻撃者はシステムを完全に制御する可能性があります。
ci4-cms-erp/ci4msをバージョン0.28.5.0にアップデートしてください。アップデートができない場合は、ファイル編集機能のアクセス制御を強化してください。
現時点では具体的な悪用事例は確認されていませんが、RCEの脆弱性であるため、悪用される可能性はあります。
ci4-cms-erp/ci4msの公式ウェブサイトまたは関連するセキュリティコミュニティの情報を確認してください。