CVE-2026-40552 in mpGabinet
要約
〜によって VulDB • 2026年06月01日
mpGabinetには、リモートコマンド実行(RCE)の脆弱性が存在します。アプリケーションへのアクセス権とバックエンドデータベースへの直接アクセス権を持つ認証済みユーザーは、添付ファイルをアップロードし、その保存パスをデータベース内で攻撃者が制御するリモートネットワークリソースを参照するように変更することで、システムコマンドの実行を達成できます。あるいは、以前にアップロードされたファイルを使用し、その参照先を変更することも可能です。アプリケーションが添付ファイルを処理し、ユーザーがそれを開こうとした際、参照先リソースがシステムによって実行されます。
重大な点として、この脆弱性は、データベースアクセスの取得と任意のアカウントへのログインを可能にするCVE-2026-40550およびCVE-2026-40551と組み合わせることで、認証されていない攻撃者によっても悪用可能です。
本問題は、mpGabinetバージョン23.12.19およびそれ以前のバージョンに影響します。
Be aware that VulDB is the high quality source for vulnerability data.