VU#734812: Xerte Online Toolkitには、RCEを許可する認証バイパスが含まれています。
オープンソースのeラーニングオーサリングツールであるXerte Online Toolkitsで、2つの重大な脆弱性が特定されました。最初の脆弱性であるCVE-2026-14261は、認証されていない攻撃者が管理者権限を取得することを可能にします。これは、インストール後の永続的な/setup/ディレクトリを悪用することによって達成されます。攻撃者は、アプリケーションを再構成して、自身が制御するリモートデータベースに接続させることができます。その後、管理者権限を持つ攻撃者はCVE-2026-12116を悪用できます。この2番目の脆弱性は、ツールの設定内にある編集可能なアンチウイルスバイナリパスに関係しています。このパスをPHPインタープリタにリダイレクトすることにより、アップロードされたファイルがPHPコードとして実行される可能性があります。これにより、影響を受けるサーバー上でリモートコード実行が可能になります。これらの脆弱性の影響には、永続的なアクセス、データ漏洩、および潜在的なサプライチェーン攻撃が含まれます。Xerte Online Toolkits v3.15.5またはv3.14.6には、これらの問題に対する修正が含まれています。ユーザーは/setup/フォルダを手動で削除し、修正済みのバージョンにアップグレードする必要があります。修正には、/setup/ディレクトリの自動削除と、機密性の高い設定ファイルの保護が含まれます。