code-projects Chamber of Commerce Membership Management System pageMail.php fwrite コマンドインジェクション (command injection)

code-projects Chamber of Commerce Membership Management System 1.0 (CVE-2026-5041)において、コマンドインジェクションの脆弱性が確認されました。 admin/pageMail.phpファイルのfwrite関数において、mailSubjectおよびmailMessage引数の操作により、攻撃者がサーバー上で任意のコマンドを実行できる可能性があります。 この脆弱性は、攻撃者が物理的なアクセスなしにシステムを侵害できるリモートで悪用できるため、特に懸念されます。 公開されているエクスプロイトの可用性は、さまざまな技術スキルを持つ悪意のある攻撃者による悪用をさらに容易にします。 Fixがないことは、このシステムのユーザーが現在このリスクにさらされていることを意味します。

Organizations utilizing the Chamber of Commerce Membership Management System version 1.0, particularly those hosting the application on publicly accessible servers, are at significant risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as a compromise of one user's instance could potentially impact others.

• php / server:

grep -r 'fwrite($_SERVER["mailSubject"]' /var/www/html/admin/pageMail.php

• generic web:

curl -I http://your-chamber-system/admin/pageMail.php?mailSubject=;id;

• generic web:

curl -I http://your-chamber-system/admin/pageMail.php?mailMessage=;id;

1. 2026-03-29Disclosure

   disclosure

1. 予約済み2026-03-27
2. 公開日2026-03-29
3. 更新日2026-03-30
4. EPSS 更新日2026-04-04

CVE-2026-5041の公式な修正プログラムは現在提供されていません。 code-projects Chamber of Commerce Membership Management System 1.0のユーザーは、システムの使用を直ちに停止することを強くお勧めします。 継続使用が絶対に必要である場合は、admin/pageMail.php関数へのアクセスを承認されたユーザーに制限し、システムログを注意深く監視するなど、一時的な軽減策を実装する必要があります。 さらに、ユーザーはシステムへの代替手段を検討するか、セキュリティアップデートを要求するために開発者に連絡することを強くお勧めします。 利用可能な場合は、より新しいバージョンへのアップグレードが、長期的な最も効果的なソリューションです。