MEDIUMCVE-2026-5326CVSS 5.3

SourceCodester Leave Application System User Information index.php 認証

プラットフォーム

php

コンポーネント

leave-application-system

修正版

1.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

SourceCodester Leave Application System 1.0に認証バイパスの脆弱性（CVE-2026-5326）が発見されました。この脆弱性により、攻撃者は/index.php?page=manage_userのID引数を悪用して認証を回避し、不正な操作を実行できる可能性があります。影響を受けるのはバージョン1.0から1.0です。現在、この脆弱性を修正するための公式パッチは提供されていません。

影響と攻撃シナリオ

SourceCodester Leave Application System バージョン 1.0 に、認証バイパスの脆弱性 (CVE-2026-5326) が発見されました。この脆弱性は、ファイル /index.php?page=manage_user 内の不明な関数、特に 'User Information Handler' コンポーネントに影響を与えます。攻撃者は 'ID' 引数を操作することで、アクセス制御を回避し、機密情報への不正アクセスや、他のユーザーになりすました操作を実行する可能性があります。この脆弱性の深刻度は CVSS スケールで 5.3 と評価されています。攻撃はリモートで行われるため、ネットワークアクセスがあればどこからでも脆弱性を悪用できます。公開されているエクスプロイトの存在はリスクを悪化させ、悪意のある攻撃者が脆弱性を悪用しやすくなります。

悪用の状況

この脆弱性は、ファイル /index.php?page=manage_user 内の 'User Information Handler' コンポーネントにおける 'ID' 引数の処理にあります。攻撃者は、'ID' 引数の値を変更する悪意のあるリクエストを作成することで、通常アクセスできない情報や機能にアクセスできます。攻撃がリモートで行われるため、攻撃者は脆弱なサーバーと同じネットワークにいる必要はありません。公開されているエクスプロイトの存在は、脆弱性の悪用プロセスを大幅に簡素化し、攻撃のリスクを高めます。潜在的な他の脆弱性を特定し、修正するために、ソースコードの徹底的なセキュリティ監査が推奨されます。

リスク対象者翻訳中…

Organizations utilizing SourceCodester Leave Application System version 1.0, particularly those deploying it on shared hosting environments or without robust access controls, are at significant risk. Companies handling sensitive employee data, such as HR departments and payroll systems, should prioritize remediation.

検出手順翻訳中…

• php / server:

 grep -r "index.php?page=manage_user" /var/www/html/

• php / server:

 auditd -l | grep manage_user

• generic web:

 curl -I https://your-domain.com/index.php?page=manage_user

攻撃タイムライン

2026-04-02Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.04% (13% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントleave-application-system

ベンダーSourceCodester

影響範囲修正版

1.0 – 1.01.0.1

弱点分類 (CWE)

CWE-639 CWE-285

タイムライン

予約済み2026-04-01
公開日2026-04-02
更新日2026-04-03
EPSS 更新日2026-04-09

未パッチ — 公開から52日経過

緩和策と回避策

現在、SourceCodester は CVE-2026-5326 に対する公式な修正 (fix) を提供していません。最も効果的な即時対策は、Leave Application System の新しいバージョンが利用可能になったらアップグレードすることです。その間は、追加のセキュリティ対策を実施することをお勧めします。具体的には、アプリケーションへのアクセスを許可されたユーザーのみに制限し、システムの活動を監視して脆弱性の悪用を示す兆候を探し、Web アプリケーションファイアウォール (WAF) を展開して悪意のあるトラフィックをフィルタリングします。SourceCodester からのセキュリティに関する発表を常に把握し、利用可能になったら更新を適用することが重要です。公式な修正がないため、積極的なセキュリティ体制が必要です。

修正方法

パッチが適用されたバージョンにアップデートするか、不正なアクセスを制限するための適切なアクセス制御を実装してください。ユーザー入力を検証およびサニタイズして、パラメータの改ざんを防止してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5326 とは何ですか？（Leave Application System）

これは、攻撃者がセキュリティ制御を回避し、アクセスすべきではないリソースや機能にアクセスできることを意味します。

Leave Application System の CVE-2026-5326 による影響を受けていますか？

これは、この特定の脆弱性を追跡および参照するために使用される一意の識別子です。

Leave Application System の CVE-2026-5326 を修正するにはどうすればよいですか？

アクセス制限、アクティビティの監視、WAF の検討など、追加のセキュリティ対策を実装してください。

CVE-2026-5326 は積極的に悪用されていますか？

はい、公開されているエクスプロイトがあり、脆弱性の悪用リスクを高めています。

CVE-2026-5326 に関する Leave Application System の公式アドバイザリはどこで確認できますか？

SourceCodester のセキュリティ発表を常に把握し、National Vulnerability Database (NVD) などの脆弱性データベースを参照してください。