| Title | OctoberCMSのOctoberにおける複数の脆弱性 |
|---|---|
| Summary | Octoberはコンテンツ管理システム(CMS)およびウェブプラットフォームです。バージョン3.7.14および4.1.10以前には、INI設定パーサーにサーバーサイドの情報漏洩脆弱性が存在します。PHPのparse_ini_string()関数は環境変数の補間に${}構文をサポートしているため、Editor権限を持つ攻撃者は${APP_KEY}や${DB_PASSWORD}のようなパターンをCMSページ設定フィールドに注入できます。これにより、機密の環境変数が解決されテンプレートに保存され、ページが再度開かれた際に攻撃者に返されます。これが原因で、認証情報や秘密情報(データベースのパスワード、AWSキー、アプリケーションキー)を窃取でき、さらなる攻撃(データベースアクセスやクッキーの改ざんなど)につながる恐れがあります。この脆弱性はcms.safe_modeが有効な場合にのみ関連し、そうでなければ直接的なPHPコードの注入がすでに可能です。この問題はバージョン3.7.14および4.1.10で修正されました。ユーザーがすぐにアップグレードできない場合は、Editorツールのアクセスを完全に信頼できる管理者のみに制限し、データベースやクラウドサービスの認証情報がウェブサーバーのネットワークからアクセスできないようにすることで回避できます。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 14, 2026, midnight |
| Registration Date | April 24, 2026, 11:33 a.m. |
| Last Update | April 24, 2026, 11:33 a.m. |
| CVSS3.0 : 警告 | |
| Score | 4.9 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
| OctoberCMS |
| October 3.7.14 未満 |
| October 4.0.0 以上 4.1.10 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月24日] 掲載 |
April 24, 2026, 11:33 a.m. |
| Summary | October is a Content Management System (CMS) and web platform. Versions prior to 3.7.14 and 4.1.10 contain a server-side information disclosure vulnerability in the INI settings parser. Because PHP's parse_ini_string() function supports ${} syntax for environment variable interpolation, attackers with Editor access could inject patterns such as ${APP_KEY} or ${DB_PASSWORD} into CMS page settings fields, causing sensitive environment variables to be resolved, stored in the template, and returned to the attacker when the page was reopened. This could enable exfiltration of credentials and secrets (database passwords, AWS keys, application keys), potentially leading to further attacks such as database access or cookie forgery. The vulnerability is only relevant when cms.safe_mode is enabled, as direct PHP injection is already possible otherwise. This issue has been fixed in versions 3.7.14 and 4.1.10. If users are unable to immediately upgrade, they can workaround this issue by restricting Editor tool access to fully trusted administrators only, and ensuring database and cloud service credentials are not accessible from the web server's network. |
|---|---|
| Publication Date | April 15, 2026, 6:16 a.m. |
| Registration Date | April 15, 2026, 11:41 a.m. |
| Last Update | April 23, 2026, 6:02 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:octobercms:october:*:*:*:*:*:*:*:* | 3.7.14 | ||||
| cpe:2.3:a:octobercms:october:*:*:*:*:*:*:*:* | 4.0.0 | 4.1.10 | |||