HIGHCVE-2026-28228CVSS 8.8

OpenOLAT: VelocityテンプレートにおけるServer-Side Template Injection (SSTI) によりリモートコード実行が可能

Q: CVE-2026-28228 とは何ですか？（OpenOLAT の Remote Code Execution (RCE)）

Velocity は、テキストの動的生成を可能にするオープンソースのテンプレートエンジンです。Web アプリケーションでパーソナライズされたコンテンツを作成するために一般的に使用されます。

Q: OpenOLAT の CVE-2026-28228 による影響を受けていますか？

Velocity インジェクションにより、攻撃者はサーバー上で任意のコードを実行し、システム侵害やデータ漏洩につながる可能性があります。

Q: OpenOLAT の CVE-2026-28228 を修正するにはどうすればよいですか？

19.1.31、20.1.18、または 20.2.5 以前のバージョンを使用している場合は、インストールが脆弱です。

Q: CVE-2026-28228 は積極的に悪用されていますか？

Author ロールを制限し、メールテンプレートを確認し、サーバーログを監視してください。

Q: CVE-2026-28228 に関する OpenOLAT の公式アドバイザリはどこで確認できますか？

NIST NVD などの脆弱性データベースで CVE-2026-28228 エントリを参照してください。

プラットフォーム

java

コンポーネント

openolat

修正版

19.1.32

20.1.19

20.2.6

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-28228は、OpenOLATにおけるリモートコード実行（RCE）の脆弱性です。認証されたAuthorロールのユーザーが、リマインダーメールのテンプレートにVelocityディレクティブを挿入できます。このディレクティブがサーバー側で評価されるため、OSコマンドを実行される可能性があります。影響を受けるバージョンは20.2.5未満です。この脆弱性はバージョン20.2.5で修正されました。

影響と攻撃シナリオ

OpenOLAT の CVE-2026-28228 は、Author ロールの認証済みユーザーがリマインダーメールテンプレートに Velocity ディレクティブを挿入することを可能にします。これらのリマインダーが処理されると（手動または毎日の cron ジョブ経由）、挿入されたディレクティブはサーバー側で評価されます。攻撃者は、Velocity の #set ディレクティブと Java リフレクションを組み合わせることで、任意のオブジェクトをインスタンス化し、リモートコード実行につながる可能性があります。これにより、システム侵害、データ漏洩、またはサービス拒否が発生する可能性があります。CVSS スコア 8.8 は、高い重大度リスクを示しており、迅速な対応が必要です。影響を受けるバージョンは、19.1.31、20.1.18、および 20.2.5 以前です。

悪用の状況

OpenOLAT システムに認証されたアクセス権を持ち、Author ロールを持っている攻撃者は、この脆弱性を悪用できます。悪用プロセスには、リマインダーメールテンプレートに悪意のある Velocity ディレクティブを挿入することが含まれます。これらのディレクティブは、処理されると、リフレクションを介して任意の Java コードの実行を可能にします。悪用の複雑さは、環境とシステム構成によって異なる場合がありますが、一般的に技術的に熟練した攻撃者にとって比較的容易であると考えられています。

リスク対象者翻訳中…

Organizations and institutions utilizing OpenOLAT for e-learning and training are at risk, particularly those running vulnerable versions (≤ 20.2.5). Environments where the Author role has broad permissions and access to email template modification are especially susceptible. Shared hosting environments running OpenOLAT should be carefully assessed for potential cross-tenant impact.

検出手順翻訳中…

• java / server:

ps aux | grep -i openolat

• java / server:

journalctl -u openolat | grep -i "Velocity"

• generic web:

curl -I https://<your_openolat_url>/ | grep -i "OpenOLAT"

攻撃タイムライン

2026-03-30Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.06% (18% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントopenolat

ベンダーOpenOLAT

影響範囲修正版

< 19.1.31 – < 19.1.3119.1.32

< 20.1.18 – < 20.1.1820.1.19

< 20.2.5 – < 20.2.520.2.6

弱点分類 (CWE)

CWE-1336

タイムライン

予約済み2026-02-25
公開日2026-03-30
更新日2026-03-31
EPSS 更新日2026-04-07

未パッチ — 公開から55日経過

緩和策と回避策

現時点では、OpenOLAT からこの脆弱性に対する公式な修正は提供されていません。最も効果的な軽減策は、19.1.31、20.1.18、または 20.2.5 バージョンにできるだけ早くアップグレードすることです。その間は、Author ロールを信頼できるユーザーに制限し、リマインダーメールテンプレートに潜在的な挿入がないか注意深く確認してください。入力検証やデータサニタイズなどの追加のセキュリティコントロールを実装することで、リスクを軽減できます。Velocity 実行に関連するサーバーログの疑わしいアクティビティを監視することも重要です。OpenOLAT のセキュリティアップデートに関する情報を常に把握し、パッチを迅速に適用することが不可欠です。

修正方法

OpenOLATをバージョン19.1.31、20.1.18、20.2.5、またはそれ以降のバージョンにアップデートしてください。これにより、Velocityテンプレートにおけるサーバーサイドテンプレートインジェクションの脆弱性が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-28228 とは何ですか？（OpenOLAT の Remote Code Execution (RCE)）