B
今週中
Grav CMSのAdminプラグインにおける「Direct Install」機能に、Zip Slip(パストラバーサル)の脆弱性
📌 一言でいうと
Grav CMSのAdminプラグインにおける「Direct Install」機能に、Zip Slip(パストラバーサル)の脆弱性が発見されました。攻撃者が悪意のあるZIPファイルをアップロードすることで、任意のPHPコードを実行し、Webシェルを設置することが可能です。影響を受けるバージョンは2.0.0-beta.2未満です。
🔍該当判定
- Webサイトの構築に「Grav CMS」を利用している
- Grav CMSのバージョンが「2.0.0-beta.2」より古い
- Grav CMSの管理画面(Admin Plugin)を有効にして利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
Grav CMSを最新バージョン(2.0.0-beta.2以降)にアップデートしてください。また、不要な管理プラグインの無効化を検討してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Grav CMS CVE-2026-42607 (RCE) 対応について
お疲れさまです。Grav CMSの脆弱性に関する情報共有です。
■ 概要
Grav CMSのAdminプラグインにおけるZIPファイルの展開処理に不備があり、パストラバーサル(Zip Slip)を通じてリモートコード実行(RCE)が可能な脆弱性が報告されました。攻撃者は悪意のあるプラグインをアップロードすることで、サーバー上で任意のPHPコードを実行できます。
■ 影響範囲
- 対象製品: Grav CMS
- 対象バージョン: 2.0.0-beta.2 未満
- 条件: Adminプラグインが有効であること
■ 対応手順
1. Grav CMSをバージョン 2.0.0-beta.2 以降にアップデートしてください。
2. アップデート後、不審なファイル(Webシェル等)がルートディレクトリに作成されていないか確認してください。
■ 参考情報
- CVE-2026-42607 / GHSA-w48r-jppp-rcfw
- Vendor: https://getgrav.org/
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Grav CMSの脆弱性に関する情報共有です。
■ 概要
Grav CMSのAdminプラグインにおけるZIPファイルの展開処理に不備があり、パストラバーサル(Zip Slip)を通じてリモートコード実行(RCE)が可能な脆弱性が報告されました。攻撃者は悪意のあるプラグインをアップロードすることで、サーバー上で任意のPHPコードを実行できます。
■ 影響範囲
- 対象製品: Grav CMS
- 対象バージョン: 2.0.0-beta.2 未満
- 条件: Adminプラグインが有効であること
■ 対応手順
1. Grav CMSをバージョン 2.0.0-beta.2 以降にアップデートしてください。
2. アップデート後、不審なファイル(Webシェル等)がルートディレクトリに作成されていないか確認してください。
■ 参考情報
- CVE-2026-42607 / GHSA-w48r-jppp-rcfw
- Vendor: https://getgrav.org/
対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Grav CMS CVE-2026-42607 - Remote Code Execution
Dear IT Administration Team,
We are sharing information regarding a critical vulnerability in Grav CMS.
■ Overview
A Zip Slip vulnerability exists in the 'Direct Install' feature of the Grav CMS Admin plugin. Due to inadequate validation of ZIP archive contents, an attacker can perform a path traversal attack to execute arbitrary PHP code or deploy a web shell on the server.
■ Scope
- Product: Grav CMS
- Affected Versions: < 2.0.0-beta.2
- Requirement: Admin Plugin must be enabled
■ Mitigation Steps
1. Update Grav CMS to version 2.0.0-beta.2 or later immediately.
2. Inspect the root directory for any unauthorized files or web shells.
■ Reference
- CVE-2026-42607 / GHSA-w48r-jppp-rcfw
- Vendor: https://getgrav.org/
Priority: High
Deadline: Immediate
Dear IT Administration Team,
We are sharing information regarding a critical vulnerability in Grav CMS.
■ Overview
A Zip Slip vulnerability exists in the 'Direct Install' feature of the Grav CMS Admin plugin. Due to inadequate validation of ZIP archive contents, an attacker can perform a path traversal attack to execute arbitrary PHP code or deploy a web shell on the server.
■ Scope
- Product: Grav CMS
- Affected Versions: < 2.0.0-beta.2
- Requirement: Admin Plugin must be enabled
■ Mitigation Steps
1. Update Grav CMS to version 2.0.0-beta.2 or later immediately.
2. Inspect the root directory for any unauthorized files or web shells.
■ Reference
- CVE-2026-42607 / GHSA-w48r-jppp-rcfw
- Vendor: https://getgrav.org/
Priority: High
Deadline: Immediate