MEDIUMCVE-2026-35023CVSS 4.3

Wimi Teamwork On-Premises < 8.2.0 における IDOR 脆弱性 - preview.php

Q: CVE-2026-35023 とは何ですか？（Wimi Teamwork On-Premises）

IDOR (Insecure Direct Object Reference) 脆弱性は、Web アプリケーションがオブジェクトにアクセスするために内部識別子を使用する際に、ユーザーがアクセス許可を持っているかどうかを確認せずに発生するものです。

Q: Wimi Teamwork On-Premises の CVE-2026-35023 による影響を受けていますか？

バージョン 8.2.0 以前を使用している場合は、インストールが脆弱です。脆弱性を修正するために最新バージョンに更新してください。

Q: Wimi Teamwork On-Premises の CVE-2026-35023 を修正するにはどうすればよいですか？

サーバーログを疑わしいアクティビティがないか確認してください。包括的なセキュリティ監査を実施し、影響を受けたユーザーに通知することを検討してください。

Q: CVE-2026-35023 は積極的に悪用されていますか？

外部ネットワークからの `preview.php` エンドポイントへのアクセスを制限し、サーバーログを監視してください。

Q: CVE-2026-35023 に関する Wimi Teamwork On-Premises の公式アドバイザリはどこで確認できますか？

Wimi Teamwork の公式ドキュメントを参照するか、Wimi の技術サポートにお問い合わせください。

プラットフォーム

php

コンポーネント

wimi-teamwork

修正版

8.2.0

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

NVDで見る

保存

Wimi Teamwork On-Premisesのpreview.phpエンドポイントにおいて、不適切な認証チェックが施されたitem_idパラメータを介した不安全な直接オブジェクト参照（Insecure Direct Object Reference）の脆弱性が確認されています。この脆弱性を悪用されると、攻撃者は他のユーザーのプライベートまたはグループの会話から画像プレビューを不正に取得し、機密情報を漏洩させる可能性があります。影響を受けるバージョンは0.0.0から8.2.0です。バージョン8.2.0でこの問題は修正されています。

影響と攻撃シナリオ

Wimi Teamwork のバージョン 8.2.0 以前の CVE-2026-35023 は、preview.php エンドポイントにおける Insecure Direct Object Reference (IDOR) の脆弱性です。この脆弱性により、攻撃者は適切な認証チェックなしに itemid パラメータを操作することで、他のユーザーのプライベートまたはグループ会話に属する画像プレビューにアクセスできるようになります。攻撃者は、一連の itemid 値を列挙してこれらの画像を特定し取得できるため、機密情報の不正な開示につながる可能性があります。内部コミュニケーションの機密性が損なわれ、重要なユーザーデータが暴露される可能性があるため、リスクは高くなります。脆弱性の簡単な悪用とプライバシーへの潜在的な影響により、この脆弱性は修正の優先事項となっています。

悪用の状況

攻撃者は、itemid パラメータにさまざまな値を指定して、preview.php エンドポイントに HTTP リクエストを送信することで、この脆弱性を悪用する可能性があります。一連の itemid を反復処理することで、攻撃者はどの ID が他のユーザーの画像に対応するかを特定できます。これらのリクエストを実行するために事前に認証は必要なく、悪用が容易になります。脆弱性は、リクエストを行うユーザーの身元に関連して item_id が検証されていないことにあります。この検証の欠如により、攻撃者は所有していないリソースにアクセスでき、プラットフォームのセキュリティが損なわれます。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (8% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントwimi-teamwork

ベンダーCloud Solutions SAS

影響範囲修正版

0.0.0 – 8.1.98.2.0

弱点分類 (CWE)

CWE-639

タイムライン

予約済み2026-03-31
公開日2026-04-08
更新日2026-04-09
EPSS 更新日2026-04-16

緩和策と回避策

CVE-2026-35023 を軽減するための解決策は、Wimi Teamwork をバージョン 8.2.0 以降に更新することです。このバージョンには、preview.php エンドポイントで適切な認証コントロールを実装するために必要な修正が含まれています。その間、一時的な措置として、外部ネットワークからの preview.php エンドポイントへのアクセスを制限し、サーバーログを疑わしいアクティビティがないか監視してください。すべての Wimi Teamwork インスタンスが最新のセキュリティバージョンで更新されるように、堅牢なパッチ管理ポリシーが不可欠です。さらに、機密データへのアクセスを許可されたユーザーのみに制限するために、アクセス制御ポリシーをレビューおよび強化することをお勧めします。

修正方法翻訳中…

Actualice Wimi Teamwork On-Premises a la versión 8.2.0 o superior para mitigar la vulnerabilidad IDOR. Esta actualización implementa las verificaciones de autorización necesarias en el endpoint preview.php, previniendo el acceso no autorizado a imágenes de conversaciones privadas.