概要
ApostropheCMSはオープンソースのNode.jsコンテンツ管理システムです。バージョン4.28.0以前には、REST APIのchoicesおよびcountsクエリパラメータに認可バイパスの脆弱性が存在していました。これらのクエリビルダーはMongoDBのdistinct()操作を実行し、公開されるフィールドを制限するためのpublicApiProjection制約を回避します。choicesおよびcountsパラメータはprojectionが適用される前にapplyBuildersSafelyを介して処理されますが、MongoDBのdistinct操作はprojectionを尊重しないため、すべての異なる値を直接返してしまいます。その結果はpublicApiProjectionやremoveForbiddenFieldsによるフィルタリングなしにAPI応答で返されます。認証されていない攻撃者は、文字列、整数、浮動小数点数、セレクト、ブール値、日付、スラッグ、リレーションシップフィールドを含む登録されたクエリビルダーを持つ任意のスキーマフィールドのすべての異なるフィールド値を抽出できます。viewPermissionで保護されたフィールドも同様に公開され、counts変種では各異なる値を持つドキュメント数も明らかになります。piece-typeおよびpageのREST APIの両方が影響を受けます。この問題はバージョン4.29.0で修正されました。
技術情報
- 公開日: 2026-04-21T10:45:12+09:00
- 更新日: 2026-04-21T10:45:12+09:00
参考リンク
対処方法
該当ソフトウェアの最新版への更新、または開発元が提供する緩和策の適用を推奨します。運用環境に応じて事前検証の上で実施してください。
免責
本記事は公開情報をもとに自動集約された速報です。正確性・完全性は保証できません。必ず一次情報(上記リンク等)をご確認ください。
