Xerte Online Toolkits <= 3.14 認証されていないテンプレートインポートによる任意のファイルアップロード、リモートコード実行につながる
プラットフォーム
php
コンポーネント
xerte-online-toolkits
修正版
3.14.1
CVE-2026-32985は、Xerte Online Toolkitsのバージョン0から3.14までのテンプレートインポート機能における認証なしの任意のファイルアップロード脆弱性です。この脆弱性を悪用されると、攻撃者は悪意のあるPHPコードを含むZIPアーカイブをアップロードし、リモートでコードを実行する可能性があります。影響を受けるバージョンは0から3.14までで、2026年3月20日に公開されました。ベンダーは修正版のリリースを予定しています。
影響と攻撃シナリオ
この脆弱性は、攻撃者がXerte Online Toolkitsのサーバ上で任意のコードを実行することを可能にします。攻撃者は、認証をバイパスして、悪意のあるPHPコードを含むZIPアーカイブをテンプレートとしてアップロードし、ウェブサーバのコンテキストで直接アクセスして実行できます。これにより、機密情報の窃取、システムの改ざん、さらにはサーバ全体の制御奪取といった深刻な被害が発生する可能性があります。この脆弱性は、類似のファイルアップロード脆弱性と同様に、広範囲な攻撃対象となり得ます。
悪用の状況
この脆弱性は、CISA KEVリストに追加される可能性があり、攻撃者による悪用が懸念されます。現時点では、公開されているPoCは確認されていませんが、ファイルアップロードの脆弱性は一般的に悪用されやすい傾向にあります。NVDおよびCISAの公開日を注視し、最新の情報を収集してください。
リスク対象者翻訳中…
Organizations and individuals using Xerte Online Toolkits for e-learning content creation and delivery are at risk. This includes educational institutions, training providers, and businesses that rely on Xerte Online Toolkits for internal or external training programs. Shared hosting environments are particularly vulnerable, as a compromised Xerte Online Toolkits installation could potentially impact other websites hosted on the same server.
検出手順翻訳中…
• php: Examine web server access logs for requests to import.php with unusual or suspicious ZIP archive filenames.
grep "import.php" /var/log/apache2/access.log | grep -i zip• php: Check the media directory for newly created PHP files with unexpected names or content.
find /var/www/xerte/media -name '*.php' -print• generic web: Monitor network traffic for attempts to upload ZIP archives to the Xerte Online Toolkits server. Use a WAF to detect and block suspicious upload patterns. • generic web: Review Xerte Online Toolkits configuration files for any unusual or insecure settings related to file uploads.
攻撃タイムライン
- Disclosure
disclosure
脅威インテリジェンス
エクスプロイト状況
EPSS
0.77% (73% パーセンタイル)
CISA SSVC
CVSS ベクトル
これらのメトリクスの意味は?
- Attack Vector
- ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
- Attack Complexity
- 低 — 特別な条件不要。安定して悪用可能。
- Privileges Required
- なし — 認証不要。資格情報なしで悪用可能。
- User Interaction
- なし — 自動かつ無音の攻撃。被害者は何もしない。
- Scope
- 変化なし — 影響は脆弱なコンポーネントのみ。
- Confidentiality
- 高 — 機密性の完全喪失。全データが読み取り可能。
- Integrity
- 高 — 任意のデータの書き込み・変更・削除が可能。
- Availability
- 高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。
影響を受けるソフトウェア
弱点分類 (CWE)
タイムライン
- 予約済み
- 公開日
- EPSS 更新日
緩和策と回避策
Xerte Online Toolkitsのバージョンを3.14より新しいバージョンにアップグレードすることが最も効果的な対策です。アップグレードが困難な場合は、テンプレートインポート機能へのアクセスを制限するか、アップロードされるファイルの拡張子を厳密に制限するなどの対策を講じてください。ウェブアプリケーションファイアウォール(WAF)を使用して、悪意のあるファイルアップロードを検知・ブロックすることも有効です。また、アクセスログやエラーログを監視し、不審なアクティビティを早期に発見することも重要です。
修正方法
Xerte Online Toolkits を 3.14 より後のバージョンにアップデートしてください。これにより、認証されていない任意のファイルアップロードの脆弱性が修正されます。最新バージョンとアップデート手順については、Xerte の Web サイトを参照してください。
CVEセキュリティニュースレター
脆弱性分析と重要アラートをメールでお届けします。
よくある質問
CVE-2026-32985 — RCE in Xerte Online Toolkitsとは何ですか?
CVE-2026-32985は、Xerte Online Toolkitsのバージョン0から3.14までのテンプレートインポート機能における認証なしの任意のファイルアップロード脆弱性です。攻撃者は、悪意のあるPHPコードを含むZIPアーカイブをアップロードすることで、リモートでコードを実行できます。
CVE-2026-32985 in Xerte Online Toolkitsに影響を受けますか?
Xerte Online Toolkitsのバージョンが0から3.14の場合、この脆弱性に影響を受けます。バージョン3.14より新しいバージョンにアップグレードしてください。
CVE-2026-32985 in Xerte Online Toolkitsを修正するにはどうすればよいですか?
Xerte Online Toolkitsのバージョンを3.14より新しいバージョンにアップグレードしてください。アップグレードが難しい場合は、テンプレートインポート機能へのアクセスを制限するか、アップロードされるファイルの拡張子を厳密に制限してください。
CVE-2026-32985は積極的に悪用されていますか?
現時点では、公開されているPoCは確認されていませんが、ファイルアップロードの脆弱性は一般的に悪用されやすい傾向にあります。攻撃者による悪用が懸念されます。
CVE-2026-32985のXerte Online Toolkitsの公式アドバイザリはどこで入手できますか?
Xerte Online Toolkitsの公式アドバイザリは、ベンダーのウェブサイトで確認してください。