Craft CMS のプレビュートークンに情報漏洩の潜在的な脆弱性があります

この脆弱性は、攻撃者がCraft CMSにログインしているユーザーを騙し、悪意のあるプレビュートークンを生成させることができます。攻撃者は、このトークンを使用して、認証なしでプレビュー対象の未公開コンテンツにアクセスし、機密情報や機密データを盗み出す可能性があります。特に、プレビュー機能が頻繁に使用される環境や、未公開コンテンツに機密情報が含まれる場合に、重大な影響を及ぼす可能性があります。攻撃者は、この脆弱性を利用して、Webサイトのコンテンツを改ざんしたり、ユーザーを誤った情報に誘導したりすることも可能です。

Organizations and individuals utilizing Craft CMS for content management, particularly those with sensitive draft content or a large number of editors with preview access, are at risk. Shared hosting environments where multiple Craft CMS instances reside on the same server could potentially expose multiple sites to this vulnerability if one instance is compromised.

• php: Examine Craft CMS application logs for unusual activity related to the /actions/preview/create-token endpoint. Look for requests originating from unexpected IP addresses or user agents.

 grep "/actions/preview/create-token" /path/to/craftcms/app/logs/web.log

• generic web: Monitor access logs for requests to /actions/preview/create-token with unusual parameters or originating from unfamiliar sources.

 grep "/actions/preview/create-token" /var/log/apache2/access.log

• generic web: Check response headers for unexpected content or error codes when accessing /actions/preview/create-token.

 curl -I https://your-craftcms-site.com/actions/preview/create-token

1. 2026-03-10Disclosure

   disclosure

1. 予約済み2026-03-03
2. 公開日2026-03-10
3. 更新日2026-03-13
4. EPSS 更新日2026-03-23

Craft CMSのバージョンを4.17.4以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、プレビュー機能の使用を制限するか、プレビュートークンの生成を厳格に管理するなどの代替策を検討してください。WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御することも有効です。また、Craft CMSのログを監視し、不審なプレビュートークンの生成がないか確認することも重要です。アップデート後、プレビュー機能が正常に動作することを確認してください。