無料スキャン
分析待ちCVE-2026-42158

CVE-2026-42158: Metadata Update in Flowsint

プラットフォーム

javascript

コンポーネント

flowsint

修正版

1.2.3

NVDで見る
保存

CVE-2026-42158は、オープンソースOSINTグラフ探索ツールFlowsintにおける脆弱性です。この脆弱性により、攻撃者は調査IDを把握している場合、他のユーザーの調査のメタデータを不正に更新することが可能です。影響を受けるバージョンは1.0.0から1.2.3未満です。バージョン1.2.3へのアップデートでこの問題は修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はFlowsintの調査メタデータを改ざんし、誤った情報に基づいて意思決定を行う可能性があります。これにより、サイバーセキュリティ調査の信頼性が損なわれ、誤った結論につながる可能性があります。攻撃者は、機密情報を隠蔽したり、調査の方向性を誤らせたりするために、メタデータを変更する可能性があります。この脆弱性は、特に複数のユーザーが同じFlowsintインスタンスを使用している環境において、深刻な影響を与える可能性があります。

悪用の状況

この脆弱性は、2026年5月12日に公開されました。現時点では、この脆弱性を悪用した具体的な事例は報告されていません。KEV(Kernel Exploitability Vulnerability)スコアは未評価です。EPSS(Exploit Prediction Score System)スコアも未評価です。公開されているPoC(Proof of Concept)は存在しません。

影響を受けるソフトウェア

コンポーネントflowsint
ベンダーreconurge
最小バージョン1.0.0
最大バージョン< 1.2.3
修正版1.2.3

弱点分類 (CWE)

CWE-284

タイムライン

  1. 公開日

緩和策と回避策

この脆弱性への最も効果的な対策は、Flowsintをバージョン1.2.3にアップデートすることです。アップデートが利用できない場合、アクセス制御を強化し、調査IDの漏洩を防ぐための対策を講じる必要があります。また、Flowsintのログを定期的に監視し、不正なメタデータ更新の兆候がないか確認することも重要です。WAFやIDS/IPSなどのセキュリティツールを導入し、悪意のあるリクエストを検知・ブロックすることも有効です。

修正方法翻訳中…

Actualice Flowsint a la versión 1.2.3 o posterior para mitigar la vulnerabilidad de control de acceso roto. Esta actualización corrige la posibilidad de que un atacante modifique los metadatos de las investigaciones de otros usuarios.

よくある質問

CVE-2026-42158 — メタデータ更新の脆弱性はFlowsintで何ですか?

CVE-2026-42158は、Flowsintのバージョン1.0.0から1.2.3未満において、攻撃者が調査IDを知っている場合、他のユーザーの調査のメタデータを更新できる脆弱性です。これにより、調査の信頼性が損なわれる可能性があります。

CVE-2026-42158はFlowsintで影響を受けますか?

Flowsintのバージョン1.0.0から1.2.3未満を使用している場合は、この脆弱性の影響を受けます。バージョン1.2.3にアップデートすることで修正されます。

CVE-2026-42158はFlowsintでどのように修正しますか?

Flowsintをバージョン1.2.3にアップデートすることで、この脆弱性を修正できます。アップデートが利用できない場合は、アクセス制御を強化し、ログを監視してください。

CVE-2026-42158は積極的に悪用されていますか?

現時点では、この脆弱性を悪用した具体的な事例は報告されていません。

CVE-2026-42158のFlowsint公式アドバイザリはどこで入手できますか?

Flowsintの公式アドバイザリは、Flowsintのプロジェクトリポジトリまたは関連するセキュリティニュースサイトで確認できます。詳細はFlowsintのドキュメントを参照してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...