プラットフォーム
nodejs
コンポーネント
payload
修正版
3.79.2
3.79.1
CVE-2026-34747は、PayloadにおけるSQLインジェクション脆弱性です。攻撃者は、適切に検証されていないリクエストを悪用し、SQLクエリの実行を操作し、データへの不正アクセスや改ざんを試みる可能性があります。この脆弱性はPayloadのバージョン3.79.1以前に影響を与えますが、バージョン3.79.1以降で修正されています。
この脆弱性を悪用されると、攻撃者はデータベース内の機密情報を窃取したり、データベースの内容を改ざんしたりする可能性があります。特に、重要な顧客データ、財務情報、またはシステム設定が含まれるデータベースが標的となる可能性があります。攻撃者は、この脆弱性を利用してデータベースサーバー上で任意のコードを実行し、システムへの完全な制御を確立する可能性もあります。この脆弱性は、類似のSQLインジェクション攻撃と同様に、広範囲な損害を引き起こす可能性があります。
この脆弱性は2026年4月1日に公開されました。現時点では、公的に利用可能なPoCは確認されていませんが、SQLインジェクション脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVへの登録状況は不明です。
エクスプロイト状況
EPSS
0.05% (17% パーセンタイル)
CISA SSVC
Payloadのバージョンを3.79.1以降にアップグレードすることが最も効果的な対策です。アップグレードが困難な場合は、一時的な回避策として、動的なクエリ入力を受け入れるエンドポイントへのアクセスを信頼できるユーザーのみに制限してください。また、信頼できないクライアントからの入力をクエリエンドポイントに送信する前に、必ず検証またはサニタイズを行ってください。ファイアウォールやプロキシサーバーを使用して、悪意のあるリクエストをブロックすることも有効です。
Actualice Payload CMS a la versión 3.79.1 o superior. Esta versión contiene una corrección para la vulnerabilidad de inyección SQL. La actualización evitará que atacantes puedan manipular las consultas SQL y acceder o modificar datos sensibles.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-34747は、Payloadのバージョン3.79.1以前におけるSQLインジェクション脆弱性です。攻撃者は、不正なリクエストを送信することで、データベースへの不正アクセスや改ざんを試みる可能性があります。
はい、影響があります。攻撃者はデータベース内の機密情報を窃取したり、データベースの内容を改ざんしたりする可能性があります。
Payloadのバージョンを3.79.1以降にアップグレードしてください。アップグレードが困難な場合は、アクセス制限や入力検証/サニタイズなどの回避策を実施してください。
現時点では、公的に利用可能なPoCは確認されていませんが、SQLインジェクション脆弱性は一般的に悪用される可能性が高いため、注意が必要です。
Payloadの公式アドバイザリは、Payloadの公式ウェブサイトまたは関連するセキュリティ情報源で入手できます。
CVSS ベクトル