MEDIUMCVE-2026-5529CVSS 4.3

Dromara lamp-cloud DefUserController ページユーザーの不適切な認証 (improper authorization)

Q: lamp-cloud の CVE-2026-5529 を修正するにはどうすればよいですか？

より厳格なアクセス制御を実装し、システムへの不審なアクティビティを監視し、`pageUser`関数へのアクセスを制限してください。

プラットフォーム

php

コンポーネント

lamp-cloud

修正版

5.8.1

5.8.2

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

Dromara lamp-cloud のバージョン 5.8.0 から 5.8.1 に存在する脆弱性です。この脆弱性は、/defUser/pageUser ファイルの pageUser 関数において、不正な操作によって権限昇格を許してしまう不正認証の脆弱性です。リモートからの攻撃が可能であり、既に攻撃手法が公開されているため、早急な対応が必要です。現時点では公式な修正パッチは提供されていません。

影響と攻撃シナリオ

Dromara lamp-cloudのバージョン5.8.1までの脆弱性が検出されました。この脆弱性は、DefUserControllerコンポーネントの/defUser/pageUserファイル内のpageUser関数に存在します。攻撃者はこの欠陥を利用して、適切な認証なしにリソースに不正にアクセスしたり、アクションを実行したりする可能性があります。この脆弱性の深刻度はCVSS 4.3と評価されており、重大なリスクを示しています。エクスプロイトが公開されており、リモートから開始できるという事実は、この脆弱性に対処する緊急性を高めています。問題レポートを通じて早期に問題が報告されたにもかかわらず、プロジェクトからの対応がないことは懸念事項であり、即時の対応が必要です。

悪用の状況

この脆弱性はリモートで悪用できるため、攻撃者は影響を受けるシステムへの物理的なアクセスを必要としません。エクスプロイトは公開されているため、攻撃者が利用しやすくなっています。DefUserControllerコンポーネントとpageUser関数が、エクスプロイトの侵入点です。プロジェクトからの対応がないことは、この脆弱性が長期間修正されないままになる可能性があり、攻撃のリスクを高めることを意味します。lamp-cloudの設定に関連する他の潜在的なリスクを特定して軽減するために、徹底的なセキュリティ監査を実施することをお勧めします。

リスク対象者翻訳中…

Organizations deploying lamp-cloud versions 5.8.0 through 5.8.1 are at immediate risk. This includes those using lamp-cloud for cloud management and automation tasks. Shared hosting environments utilizing these versions are particularly vulnerable due to the potential for cross-tenant exploitation.

検出手順翻訳中…

• php / server:

find /var/www/html -name "DefUserController.php"

• generic web:

curl -I https://your-lamp-cloud-instance/defUser/pageUser

• generic web:

grep -r 'pageUser' /var/log/apache2/access.log

攻撃タイムライン

2026-04-05Disclosure
disclosure
2026-04-05PoC
poc

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.01% (1% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントlamp-cloud

ベンダーDromara

影響範囲修正版

5.8.0 – 5.8.05.8.1

5.8.1 – 5.8.15.8.2

弱点分類 (CWE)

CWE-285 CWE-266

タイムライン

予約済み2026-04-04
公開日2026-04-05
更新日2026-04-06
EPSS 更新日2026-04-12

未パッチ — 公開から49日経過

緩和策と回避策

現在、DromaraプロジェクトはCVE-2026-5529に対する公式な修正プログラムを提供していません。パッチがリリースされるまで、バージョン5.8.1より前のlamp-cloudを使用しているユーザーは、一時的な軽減策を実施することを強くお勧めします。これには、より厳格なアクセス制御の実施、システムへの不審なアクティビティの監視、pageUser関数へのアクセス制限が含まれます。ユーザーは、Dromaraプロジェクトが将来リリースする可能性のある更新プログラムまたはパッチに関する情報を常に把握しておくことが重要です。Dromaraチームに直接連絡して懸念を表明し、修正プログラムのステータスに関する情報を求めることをお勧めします。利用可能になったら、パッチが適用されたバージョンにアップグレードすることが、最終的な解決策です。

修正方法翻訳中…

Actualice lamp-cloud a una versión corregida.  El proyecto Dromara ha sido notificado del problema, pero aún no ha proporcionado una solución.  Consulte las fuentes de referencia para obtener más información y posibles soluciones alternativas.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5529 とは何ですか？（lamp-cloud）

CVSS 4.3は、脆弱性に関連するリスクを示す深刻度スコアです。4.3のスコアは、中程度から高いリスクを示しています。

lamp-cloud の CVE-2026-5529 による影響を受けていますか？

lamp-cloudバージョン5.8.1またはそれ以前を使用している場合、この脆弱性に影響を受けている可能性が高いです。

lamp-cloud の CVE-2026-5529 を修正するにはどうすればよいですか？

より厳格なアクセス制御を実装し、システムへの不審なアクティビティを監視し、pageUser関数へのアクセスを制限してください。

CVE-2026-5529 は積極的に悪用されていますか？

lamp-cloudのドキュメントとCVE-2026-5529に関連するセキュリティレポートを参照してください。

CVE-2026-5529 に関する lamp-cloud の公式アドバイザリはどこで確認できますか？

ウェブサイトやGitHubリポジトリなどの公式サポートチャネルを通じてDromaraチームに連絡してみてください。