| タイトル | Decidim Free Software AssociationのDecidimにおける不適切な権限設定に関する脆弱性 |
|---|---|
| 概要 | Decidimは参加型民主主義フレームワークです。バージョン0.19.0から0.30.5および0.31.1の前のバージョンにかけて、任意の登録済み認証ユーザーが任意の修正案を承認または拒否できる脆弱性があります。この脆弱性は、修正機能が有効になっている提案を作成したユーザーに影響を及ぼします。また、提案を修正するユーザーは共同著者として扱われるため、修正を受け入れたユーザーが元の提案の著者として権限を昇格されることになります。バージョン0.30.5および0.31.1でこの問題は修正されました。回避策として、修正可能なコンポーネント(例:提案)に対する修正反応を無効にしてください。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月21日0:00 |
| 登録日 | 2026年4月27日11:20 |
| 最終更新日 | 2026年4月27日11:20 |
| CVSS3.0 : 警告 | |
| スコア | 6.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月27日] 掲載 |
2026年4月27日11:20 |
| 概要 | Decidim is a participatory democracy framework. Starting in version 0.19.0 and prior to versions 0.30.5 and 0.31.1, a vulnerability allows any registered and authenticated user to accept or reject any amendments. The impact is on any users who have created proposals where the amendments feature is enabled. This also elevates the user accepting the amendment as the author of the original proposal as people amending proposals are provided coauthorship on the coauthorable resources. Versions 0.30.5 and 0.31.1 fix the issue. As a workaround, disable amendment reactions for the amendable component (e.g. proposals). |
|---|---|
| 公表日 | 2026年4月22日5:17 |
| 登録日 | 2026年4月25日4:03 |
| 最終更新日 | 2026年4月24日1:08 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:decidim:decidim:*:*:*:*:*:ruby:*:* | 0.19.0 | 0.30.5 | |||
| cpe:2.3:a:decidim:decidim:*:*:*:*:*:ruby:*:* | 0.31.0 | 0.31.1 | |||