CVE-2026-34749は、Payload CMSの認証フローにおけるクロスサイトリクエストフォージェリ(CSRF)脆弱性です。この脆弱性により、攻撃者は認証保護をバイパスし、ユーザーの意図しないアクションを実行する可能性があります。影響を受けるバージョンはPayload CMS 3.79.0から3.79.1です。バージョン3.79.1へのアップデートで修正されています。
このCSRF脆弱性を悪用されると、攻撃者は認証済みユーザーになりすまして、機密情報の取得、設定の変更、または悪意のあるコードの実行など、様々な攻撃を実行する可能性があります。例えば、攻撃者はユーザーが意図せずに新しい管理者アカウントを作成したり、既存のコンテンツを削除したりするよう誘導できます。Payload CMSはヘッドレスCMSであるため、バックエンドAPIへのアクセスを制御していない場合、攻撃の影響範囲は広がる可能性があります。この脆弱性は、認証プロセスが適切に保護されていない場合に特に危険です。
この脆弱性は、2026年4月1日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。CISA KEVリストにはまだ追加されていません。Payload CMSはオープンソースプロジェクトであるため、攻撃者による悪用が懸念されます。攻撃者は、この脆弱性を利用して、機密情報を盗んだり、システムを制御したりする可能性があります。
Organizations and individuals using Payload CMS versions 3.79.0 through 3.79.0 are at risk. This includes those deploying Payload CMS in production environments, development environments, or staging environments. Shared hosting environments using Payload CMS are particularly vulnerable, as they may be more difficult to patch quickly.
• nodejs: Monitor application logs for suspicious requests originating from different origins. Use Node.js security auditing tools to identify potential CSRF vulnerabilities.
npm audit payload-cms• generic web: Examine access logs for requests with unusual referer headers or POST requests to sensitive endpoints. Check response headers for unexpected redirects.
curl -I https://your-payload-cms-site.com/admin/some-sensitive-endpointdisclosure
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最良の対応策は、Payload CMSをバージョン3.79.1にアップデートすることです。アップデートがすぐに利用できない場合、WAF(Web Application Firewall)を使用して、CSRF攻撃を検出およびブロックすることを検討してください。WAFルールは、不審なリクエストの送信元を検証し、認証トークンが有効であることを確認するように設定する必要があります。また、Payload CMSのセキュリティ設定を見直し、不要な機能を無効にすることで、攻撃対象領域を減らすことができます。アップデート後、Payload CMSのログを監視し、異常なアクティビティがないか確認してください。
認証フローにおけるCSRF保護のバイパス脆弱性を軽減するために、バージョン3.79.1以降にアップデートしてください。このアップデートは、より堅牢なセキュリティ対策を実装することで問題を修正し、クロスサイトリクエストフォージェリ (Cross-Site Request Forgery) リクエストを防止します。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-34749は、Payload CMSのバージョン3.79.0から3.79.1までの認証フローに存在するクロスサイトリクエストフォージェリ(CSRF)脆弱性です。攻撃者はこの脆弱性を利用して、ユーザーになりすまして悪意のあるアクションを実行する可能性があります。
Payload CMSのバージョン3.79.0から3.79.1を使用している場合、CVE-2026-34749の影響を受けます。バージョン3.79.1にアップデートすることで、この脆弱性を修正できます。
CVE-2026-34749は、Payload CMSをバージョン3.79.1にアップデートすることで修正できます。アップデートがすぐに利用できない場合は、WAFを使用してCSRF攻撃をブロックすることを検討してください。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、Payload CMSはオープンソースプロジェクトであるため、攻撃者による悪用が懸念されます。
Payload CMSの公式アドバイザリは、Payload CMSのウェブサイトまたはGitHubリポジトリで確認できます。