HIGHCVE-2026-4947CVSS 7.1

Foxit eSignにおける安全でない直接オブジェクト参照 (IDOR) による署名偽造

プラットフォーム

windows

コンポーネント

foxit-esign

修正版

2026.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

NVDで見る

保存

CVE-2026-4947は、Foxit eSignの署名招待受付プロセスにおける、潜在的な不正な直接オブジェクト参照（IDOR）の脆弱性です。特定の条件下で、攻撃者はユーザーが提供したオブジェクト識別子を操作することにより、不正なリソースにアクセスまたは変更し、署名を偽造し、署名プロセスの整合性と信頼性を損なう可能性がありました。この問題は、リクエスト処理中の参照リソースに対する不十分な認証検証が原因でした。影響を受けるバージョンは2026年3月26日より前のバージョンです。この脆弱性はバージョン2026年3月26日に修正されました。

影響と攻撃シナリオ

CVE-2026-4947 は、Foxit eSign の署名招待の承諾プロセスにおける、不安全な直接オブジェクト参照 (IDOR) の脆弱性を明らかにするものです。特定の条件下では、攻撃者はユーザーが提供するオブジェクト識別子を操作することで、許可されていないリソースにアクセスまたは変更できる可能性があります。これにより、署名が偽造され、署名プロセス中の文書の完全性と真正性が損なわれる可能性があります。この脆弱性の深刻度は、CVSS スケールで 7.1 と評価されており、中程度のリスクを示しています。これは特に na1.foxitesign.foxit.com に影響を与え、2026 年 3 月 26 日に修正されました。根本原因は、参照リソースに対する不十分な承認検証です。

悪用の状況

この IDOR 脆弱性の悪用には、署名招待の承諾プロセスで使用される内部オブジェクト識別子に関する知識が必要です。これは、ネットワークリクエストの観察またはアプリケーションの逆コンパイルによって実現できる可能性があります。有効なオブジェクト識別子がわかると、攻撃者は許可されていないリソース（他のユーザーの署名文書など）にアクセスするためにそれを操作できます。堅牢な承認検証の欠如により、このタイプの操作が可能になります。悪用の成功は、既存のアクセス制御を回避し、署名リソースへの不正アクセスを獲得する攻撃者の能力に依存します。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (9% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントfoxit-esign

ベンダーFoxit Software Inc.

影響範囲修正版

before 2026-03-26 – before 2026-03-262026.0.1

弱点分類 (CWE)

CWE-284

タイムライン

予約済み2026-03-27
公開日2026-04-01
更新日2026-04-02
EPSS 更新日2026-04-08

緩和策と回避策

CVE-2026-4947 に関連するリスクを軽減するために、Foxit eSign の最新バージョンにアップデートすることを強くお勧めします。このアップデートには、オブジェクト識別子の操作を可能にした不十分な承認検証に対処するセキュリティ修正が含まれています。さらに、アクセス制御ポリシーを見直し、強化して、承認されたユーザーのみが署名リソースにアクセスできるようにする必要があります。署名招待の承諾に関連する疑わしいアクティビティを監査ログで監視することも推奨されるプラクティスです。パッチは 2026 年 3 月 26 日にリリースされたため、潜在的な攻撃から身を守るために、できるだけ早くアップデートを適用することが重要です。

修正方法翻訳中…

Actualice a la versión 2026-03-26 o posterior de Foxit eSign. Esta versión corrige la vulnerabilidad IDOR que podría permitir la falsificación de firmas. Consulte el boletín de seguridad de Foxit para obtener más detalles e instrucciones de actualización.