製品・ソフトウェアに関する情報

JVN脆弱性詳細

University at BuffaloのOpen XDMoDにおけるOS コマンドインジェクションの脆弱性

Title	University at BuffaloのOpen XDMoDにおけるOS コマンドインジェクションの脆弱性
Summary	OpenXDMoDはHPCメトリクスの収集および分析のためのオープンフレームワークです。バージョン9.5.0から11.0.3未満のバージョンにおいて、攻撃者はOpenXDMoDをホストするウェブサーバー上で任意のシステムコマンドをウェブサーバープロセスの権限でリモート実行することが可能です。これにより攻撃者はアプリケーションデータを閲覧または改ざんし、システム構成を変更したりサービスの可用性を妨害したりする可能性があります。OpenXDMoDのバージョン9.5.0から11.0.2（含む）までの全ての導入環境が影響を受けます。この問題は2026年4月6日に非公開で報告されており、現時点で本脆弱性が実際に悪用された証拠はありません。この脆弱性は2026年5月12日にリリースされたOpenXDMoD 11.0.3により修正されました。回避策としては手動でパッチを適用することが推奨されます。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 5, 2026, midnight
Registration Date	June 11, 2026, 4:23 p.m.
Last Update	June 11, 2026, 4:23 p.m.

CVSS3.0 : 緊急
Score	9.8
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Affected System

University at Buffalo

Open XDMoD 9.5.0 以上 11.0.3 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-45777	https://www.cve.org/CVERecord?id=CVE-2026-45777
National Vulnerability Database (NVD)
2	CVE-2026-45777	https://nvd.nist.gov/vuln/detail/CVE-2026-45777

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-78	https://jvndb.jvn.jp/ja/cwe/CWE-78.html

ベンダー情報

No	Name	URL
GitHub
1	Unauthenticated Remote Code Execution (RCE) via OS Command Injection in Open XDMoD Advisory ubccr/xdmod GitHub (GHSA-29qm-7w4v-43fw)	https://github.com/ubccr/xdmod/security/advisories/GHSA-29qm-7w4v-43fw

その他

No	Name	URL
関連文書
1	Release Open XDMoD 11.0.3 ubccr/xdmod GitHub	https://github.com/ubccr/xdmod/releases/tag/v11.0.3-2
2	Unauthenticated Remote Code Execution (RCE) via OS Command Injection in Open XDMoD Advisory ubccr/xdmod GitHub (https://open.xdmod.org/security_patches/GHSA-29qm-7w4v-43fw-9_5_0-11_0_2.patch)	https://open.xdmod.org/security_patches/GHSA-29qm-7w4v-43fw-9_5_0-11_0_2.patch

Change Log

No	Changed Details	Date of change
1	[2026年06月11日] 掲載	June 11, 2026, 4:23 p.m.

NVD Vulnerability Information

CVE-2026-45777

Summary	OpenXDMoD is an open framework for collecting and analyzing HPC metrics. Starting in version 9.5.0 and prior to version 11.0.3, an attacker can remotely execute arbitrary system commands on the web server hosting Open XDMoD with the privileges of the web server process. This could allow an attacker to read or modify application data, alter system configuration, or disrupt service availability. All deployments of Open XDMoD versions 9.5.0 through 11.0.2 (inclusive) are impacted. This issue was reported privately on 2026-04-06, and at this time there is no evidence that this vulnerability has been exploited in the wild. The vulnerability was patched in Open XDMoD 11.0.3 on 2026-05-12. As a workaround, apply the patch manually.
Publication Date	June 6, 2026, 5:17 a.m.
Registration Date	June 7, 2026, 4:12 a.m.
Last Update	June 6, 2026, 5:48 a.m.

Related information, measures and tools

No	URL	refsource
1	https://github.com/ubccr/xdmod/releases/tag/v11.0.3-2	security-advisories@github.com
2	https://github.com/ubccr/xdmod/security/advisories/GHSA-29qm-7w4v-43fw	security-advisories@github.com
3	https://open.xdmod.org/security_patches/GHSA-29qm-7w4v-43fw-9_5_0-11_0_2.patch	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-78	OSコマンド・インジェクション	https://cwe.mitre.org/data/definitions/78.html