CRITICALCVE-2026-29103CVSS 9.1

SuiteCRMにおいてモジュールローダーパッケージスキャナバイパスによるリモートコード実行の脆弱性

Q: CVE-2026-29103 — RCE in SuiteCRM 8.9.2とは何ですか？

CVE-2026-29103は、SuiteCRM 8.0.0～8.9.2において、認証された管理者が任意のシステムコマンドを実行できるリモートコード実行（RCE）脆弱性です。

Q: CVE-2026-29103 in SuiteCRM 8.9.2に影響を受けますか？

SuiteCRMのバージョンが8.0.0から8.9.2のいずれかである場合、この脆弱性に影響を受ける可能性があります。

Q: CVE-2026-29103 in SuiteCRM 8.9.2を修正するにはどうすればよいですか？

SuiteCRMをバージョン8.9.3にアップデートすることで、この脆弱性を修正できます。

Q: CVE-2026-29103は積極的に悪用されていますか？

現時点では、積極的に悪用されているという報告はありませんが、今後悪用される可能性はあります。

Q: CVE-2026-29103に関するSuiteCRMの公式アドバイザリはどこで入手できますか？

SuiteCRMの公式ウェブサイトまたはセキュリティアドバイザリページで、CVE-2026-29103に関する情報を確認してください。

プラットフォーム

php

コンポーネント

suitecrm

修正版

7.15.2

8.0.1

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

SuiteCRMは、オープンソースのエンタープライズ向け顧客関係管理（CRM）ソフトウェアです。CVE-2026-29103は、SuiteCRMのバージョン8.0.0から8.9.2までの間で発見されたリモートコード実行（RCE）脆弱性であり、認証された管理者がシステムコマンドを自由に実行できてしまう可能性があります。この脆弱性は、以前のCVE-2024-49774のパッチを回避するものであり、ModuleScanner.phpにおけるPHPトークン解析の不備が根本原因です。バージョン8.9.3へのアップデートで修正されています。

影響と攻撃シナリオ

このRCE脆弱性を悪用されると、攻撃者はSuiteCRMシステム上で任意のコードを実行できるようになります。これにより、機密情報の窃取、システムの改ざん、さらにはシステム全体の制御権奪取といった深刻な被害が発生する可能性があります。攻撃者は、認証された管理者権限を悪用して、データベースの内容を盗み出したり、不正なバックドアを仕込んだり、他のシステムへの攻撃の足がかりとして利用したりすることが考えられます。特に、SuiteCRMを重要なビジネスプロセスに組み込んでいる場合、この脆弱性の影響は甚大となる可能性があります。類似の脆弱性では、攻撃者がシステムを完全に制御し、機密データを外部に流出させる事例が報告されています。

悪用の状況

この脆弱性は、CISAのKEVカタログに追加される可能性があります。現在、公開されているPoCは確認されていませんが、CVEの公開から時間が経過していないため、今後PoCが公開される可能性はあります。攻撃者による悪用が確認された場合、迅速な対応が必要です。NVDおよびCISAの情報を常に監視し、最新の情報を入手するようにしてください。

リスク対象者翻訳中…

Organizations heavily reliant on SuiteCRM for customer relationship management are at significant risk. This includes businesses using SuiteCRM for sales, marketing, and support operations. Specifically, those who applied the patch for CVE-2024-49774 but have not upgraded to 8.9.3 are particularly vulnerable. Shared hosting environments running SuiteCRM are also at increased risk due to the potential for cross-tenant exploitation.

検出手順翻訳中…

• linux / server:

journalctl -u suitecrm -f | grep -i "ModuleScanner.php"

• php:

find /var/www/suitecrm -name "ModuleScanner.php" -print

• generic web:

curl -I http://your-suitecrm-instance/suitecrm/modules/ModuleScanner/ModuleScanner.php | grep -i "PHP"

攻撃タイムライン

2026-03-19Disclosure
disclosure
2026-03-19Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.32% (55% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントsuitecrm

ベンダーSuiteCRM

影響範囲修正版

< 7.15.1 – < 7.15.17.15.2

>= 8.0.0, < 8.9.3 – >= 8.0.0, < 8.9.38.0.1

弱点分類 (CWE)

CWE-94 CWE-358

タイムライン

予約済み2026-03-03
公開日2026-03-19
更新日2026-03-20
EPSS 更新日2026-03-27

緩和策と回避策

この脆弱性への対応として、まずSuiteCRMをバージョン8.9.3にアップデートすることを推奨します。アップデートがシステムに影響を与える可能性がある場合は、事前にバックアップを取得し、テスト環境でアップデートを検証することをお勧めします。アップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）やリバースプロキシを導入し、悪意のあるリクエストをブロックするルールを設定することで、攻撃を軽減できる可能性があります。また、ModuleScanner.phpに対するアクセスを制限する設定変更も有効です。アップデート後、SuiteCRMのログを監視し、不審なアクティビティがないか確認してください。

修正方法

SuiteCRMをバージョン 7.15.1 以降、またはバージョン 8.9.3 以降にアップデートしてください。これにより、モジュールローダーパッケージスキャナのバイパスを回避することで、リモートコード実行の脆弱性が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-29103 — RCE in SuiteCRM 8.9.2とは何ですか？