HIGHCVE-2026-27198CVSS 8.8

Formwork はユーザー作成時に権限を不適切に管理する

Q: CVE-2026-27198 — 権限昇格 in Formwork CMSとは何ですか？

CVE-2026-27198は、Formwork CMSのバージョン2.0.0から2.3.3における、エディタロールのユーザーが管理者権限を持つアカウントを作成できる脆弱性です。

Q: CVE-2026-27198 in Formwork CMSに影響を受けますか？

Formwork CMSのバージョン2.0.0から2.3.3を使用している場合は、影響を受けます。バージョン2.3.4へのアップデートが必要です。

Q: CVE-2026-27198 in Formwork CMSを修正するにはどうすればよいですか？

Formwork CMSをバージョン2.3.4にアップデートしてください。アップデートが難しい場合は、一時的な回避策として、管理者ロールの作成を制限するカスタムコードを実装することを検討してください。

Q: CVE-2026-27198は積極的に悪用されていますか？

現時点では公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。

Q: CVE-2026-27198に関するFormwork CMSの公式アドバイザリはどこで入手できますか？

Formwork CMSの公式ウェブサイトまたはGitHubリポジトリでアドバイザリをご確認ください。

プラットフォーム

php

コンポーネント

formwork

修正版

2.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

Formwork CMSのバージョン2.0.0から2.3.3には、アカウント作成時のロールベースの認可が不十分な脆弱性が存在します。攻撃者はエディタロールの認証済みユーザーとして、管理者権限を持つ新しいアカウントを作成し、システム全体へのアクセス権を得ることが可能です。この脆弱性はバージョン2.3.4で修正されており、迅速なアップデートが推奨されます。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はFormwork CMSの完全な制御権を獲得できます。エディタロールのユーザーが管理者権限を持つアカウントを作成することで、データベースへのアクセス、ファイルシステムの改ざん、設定の変更など、あらゆる操作を実行できるようになります。これにより、機密情報の漏洩、Webサイトの改ざん、さらにはサーバー全体の侵害につながる可能性があります。攻撃者は、CMSを悪意のあるコンテンツを配信したり、他のシステムへの攻撃の足がかりとして利用したりする可能性があります。

悪用の状況

この脆弱性は、Formwork CMSの管理画面にアクセスできる認証済みユーザーが利用可能です。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISA KEVへの登録状況は不明です。NVD公開日は2026年2月21日です。

リスク対象者翻訳中…

Organizations using Formwork CMS, particularly those with multiple users and a reliance on the 'editor' role for content management, are at risk. Shared hosting environments where multiple CMS instances share the same server are also at increased risk, as a compromise of one instance could potentially lead to the compromise of others.

検出手順翻訳中…

• php: Examine Formwork CMS configuration files for unusual user roles or permissions. • generic web: Monitor access logs for POST requests to account creation endpoints with suspicious parameters. • generic web: Check CMS logs for successful account creations with administrative roles by users with the 'editor' role.

# Example: Grepping access logs for account creation attempts
grep 'POST /admin/users/create' access.log

攻撃タイムライン

2026-02-21Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

0.02% (4% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントformwork

ベンダーgetformwork

影響範囲修正版

>= 2.0.0, < 2.3.4 – >= 2.0.0, < 2.3.42.0.1

弱点分類 (CWE)

CWE-269

タイムライン

予約済み2026-02-18
公開日2026-02-21
更新日2026-02-24
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最も効果的な対策は、Formwork CMSをバージョン2.3.4にアップデートすることです。アップデートが困難な場合は、一時的な回避策として、管理者ロールの作成を制限するカスタムコードを実装することを検討してください。また、Webアプリケーションファイアウォール（WAF）を導入し、不正なアカウント作成試行を検知・ブロックすることも有効です。アクセスログを監視し、異常なアカウント作成アクティビティを特定することも重要です。

修正方法

Formwork をバージョン 2.3.4 以降にアップデートしてください。このバージョンは、エディタ権限を持つユーザーが管理者権限のアカウントを作成できる脆弱性を修正します。アップデートにより権限昇格を防ぎ、CMS の完全な侵害から保護します。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-27198 — 権限昇格 in Formwork CMSとは何ですか？