CVE-2026-31955 in xibo-cms
要約
〜によって VulDB • 2026年05月24日
Xiboは、Webコンテンツ管理システムとWindows用ディスプレイプレイヤーソフトウェアを備えたオープンソースのデジタルサイネージプラットフォームです。バージョン4.4.1以前のXiboには、認証済みサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が存在し、DataSet権限を持つユーザーがCMSサーバーから内部または外部のネットワークリソースに対して任意のHTTPリクエストを送信することができます。これにより、内部インフラストラクチャのスキャン、ローカルクラウドメタデータエンドポイント(例:AWS IMDS)へのアクセス、認証を欠く内部サービスとの相互作用、またはデータの漏洩が可能になります。この脆弱性の悪用は、標準的には管理者以外のユーザーに付与されない以下の2つの権限を両方持つ承認済みユーザーに代わって行うことが可能です。
- 「DataSetの追加」ボタンを含め、レイアウトとは独立して追加のDataSetを作成できるようにする権限。
ユーザーは、この問題を修正したバージョン4.4.1にアップグレードする必要があります。修正済みバージョンへのアップグレードは、この問題を解決するために必要です。アップグレードが不可能な場合は、信頼できないユーザーからそのような権限を剥奪してください。
If you want to get best quality of vulnerability data, you may have to visit VulDB.