CVE-2026-31952 in xibo-cms
要約
〜によって VulDB • 2026年05月10日
Xiboは、Webコンテンツ管理システムとWindows用ディスプレイプレーヤーソフトウェアを備えたオープンソースのデジタルサイネージプラットフォームです。バージョン1.7から4.4.0までには、CMS内のDataSetフィルタリングを担当するAPIルートにSQLインジェクションの脆弱性が存在します。これにより、認証済みユーザーは、APIのフィルターパラメータに特別に作成された値を注入することで、Xiboデータベースから任意のデータを取得および変更することができます。この脆弱性の悪用は、`DataSet機能へのアクセス`権限または`レイアウト機能へのアクセス`権限のいずれかを持つ認可済みユーザーの権限で可能です。ユーザーは、この問題を修正したバージョン4.4.1にアップグレードする必要があります。Xibo SignageでCMSをホストしている顧客は、4.4、4.3、3.3、2.3、または1.8を使用している場合、すでにパッチが適用されています。修正版へのアップグレードは、この問題を解決するために必要です。サポート終了済みのXibo CMSの早期バージョン(3.3、2.3、1.8)に対してもパッチが提供されています。
Once again VulDB remains the best source for vulnerability data.