← 戻る
Webアプリケーション
CVE-2026-46622 high CVSS 8.1

SolidInvoice is an open-source invoicing platform. Prior to version 2.3.17, API tokens used to authenticate all REST API requests are stored as plaintext strings in the api_tokens database table. Any...

概要

SolidInvoice is an open-source invoicing platform. Prior to version 2.3.17, API tokens used to authenticate all REST API requests are stored as plaintext strings in the api_tokens database table. Any attacker who obtains read access to the database — through SQL injection, a leaked backup, a misconf...

AI要約 openai / gpt-4o

SolidInvoiceはオープンソースの請求プラットフォームです。バージョン2.3.17以前では、REST APIリクエストを認証するために使用されるAPIトークンが、データベース内でプレーンテキストの文字列として保存されています。これにより、SQLインジェクションやレプリカの誤設定などでデータベースにアクセスできる攻撃者は、即座に全ユーザーのAPI認証情報を取得できるリスクがあります。この問題はバージョン2.3.17で修正されています。
❓ 何が問題か
APIトークンがプレーンテキストで保存されていることによる認証情報漏洩の脆弱性。
📍 影響範囲
SolidInvoiceのバージョン2.3.17未満。
🔥 重要度
データベースにアクセス可能な攻撃者は、全ユーザーのAPI認証情報を簡単に取得できるため、深刻です。
🔧 修正方法
バージョン2.3.17にアップデートしてください。
🛡️ 暫定回避
情報なし
🔍 検知方法
バージョン2.3.17以前を使用している場合、影響を受けます。

参照URL

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →