製品・ソフトウェアに関する情報
Vulnerability Search
Docmostにおけるユーザ制御の鍵による認証回避に関する脆弱性
Title Docmostにおけるユーザ制御の鍵による認証回避に関する脆弱性
Summary

Docmostはオープンソースのコラボレーティブウィキおよびドキュメントソフトウェアです。バージョン0.3.0から0.71.0未満のバージョンにおいて、不適切な認可により、低権限の認証済みユーザーが同一ワークスペース内の他のページの添付ファイルを、被害者の`attachmentId`を`POST /api/files/upload`に提供することで上書きできてしまいます。これは被害者の操作を必要としないリモートで発生する整合性の問題です。バージョン0.71.0で修正されています。

Possible impacts 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアの一部が停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date April 14, 2026, midnight
Registration Date April 24, 2026, 11:30 a.m.
Last Update April 24, 2026, 11:30 a.m.
CVSS3.0 : 警告
Score 5.4
Vector CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
Affected System
Docmost
Docmost 0.3.0 以上 0.71.0 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年04月24日]
  掲載		 April 24, 2026, 11:30 a.m.
NVD Vulnerability Information
CVE-2026-34213
Summary

Docmost is open-source collaborative wiki and documentation software. Starting in version 0.3.0 and prior to version 0.71.0, improper authorization in Docmost allows a low-privileged authenticated user to overwrite another page's attachment within the same workspace by supplying a victim `attachmentId` to `POST /api/files/upload`. This is a remote integrity issue requiring no victim interaction. Version 0.71.0 contains a patch.

Publication Date April 15, 2026, 7:16 a.m.
Registration Date April 15, 2026, 11:42 a.m.
Last Update April 23, 2026, 3:46 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:docmost:docmost:*:*:*:*:*:*:*:* 0.3.0 0.71.0
Related information, measures and tools
Common Vulnerabilities List