🔥 この記事の詳細
2026-07-08 更新
C
月内に

Krayin CRM v2.2.x において、認証済みユーザーがリモートでコードを実行できる脆弱性 (CVE-2026-38526)

脆弱性🌐 英語ソース
🔢 CVECVE-2026-38526
📅 2026-07-08📰 exploit_db
📌 一言でいうと
Krayin CRM v2.2.x において、認証済みユーザーがリモートでコードを実行できる脆弱性 (CVE-2026-38526) が公開されました。攻撃者は管理パネルの TinyMCE アップロード機能を悪用して、サーバー上で任意のコマンドを実行することが可能です。この脆弱性は、認証済みの権限を持つユーザーによって悪用されるリスクがあります。
🔍該当判定
  • 顧客管理システムに「Krayin CRM」を利用している
  • Krayin CRMのバージョンが「2.2.x」である
  • Krayin CRMの管理画面(/admin)にログインできるアカウントを運用している
上記いずれにも該当しない → 静観でOK
該当時の対応
最新バージョンへのアップデートを確認し、管理パネルへのアクセス権限を最小限に制限してください。また、不審なファイルのアップロード履歴がないかログを確認することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Krayin CRM CVE-2026-38526 対応について

お疲れさまです。Krayin CRM の脆弱性に関する情報共有です。

■ 概要
Krayin CRM v2.2.x において、認証済みユーザーがリモートでコードを実行できる脆弱性 (CVE-2026-38526) が報告されました。管理画面の TinyMCE アップロード機能を介して任意のコードが実行される可能性があります。

■ 影響範囲
- 対象製品: Krayin CRM
- 対象バージョン: v2.2.x

■ 対応手順
1. 利用中の Krayin CRM のバージョンを確認してください。
2. ベンダーから提供される最新のセキュリティパッチを適用してください。
3. 管理者権限を持つユーザーを精査し、不要なアカウントを削除してください。

■ 参考情報
- Exploit-DB EDB-ID: 52629

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Krayin CRM CVE-2026-38526 RCE

Dear IT Administration Team,

We are sharing information regarding a critical vulnerability in Krayin CRM.

■ Overview
An authenticated Remote Code Execution (RCE) vulnerability (CVE-2026-38526) has been identified in Krayin CRM v2.2.x. Attackers with authenticated access can execute arbitrary commands via the TinyMCE upload feature in the admin panel.

■ Scope
- Product: Krayin CRM
- Version: v2.2.x

■ Mitigation Steps
1. Verify the current version of Krayin CRM in use.
2. Apply the latest security updates provided by the vendor.
3. Review and restrict administrative access to authorized personnel only.

■ Reference
- Exploit-DB EDB-ID: 52629

Priority: High
Deadline: Immediate