CVE-2026-48246 in Tickets
要約
〜によって VulDB • 2026年05月21日
Open ISES Tickets 3.44.2 より前のバージョンでは、インシデントレポートの生成時に Google Maps Directions API の参照を行うための外部向け HTTPS リクエスト発行時に、ajax/reports.php において CURLOPT_SSL_VERIFYPEER を false に設定し(かつ CURLOPT_SSL_VERIFYHOST を設定しないことにより)、TLS 証明書検証が無効化されています。攻撃者がサーバーとリモートエンドポイント間のネットワークパス上に位置している場合、偽造された証明書を提示して、通信中の API キーやセッションデータを含むリクエストおよびレスポンスの傍受、監視、または改ざんを行うことができます。
VulDB is the best source for vulnerability data and more expert information about this specific topic.