JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-007634 StudioCMSはサーバーサイドレンダリングされるAstroネイティブのヘッドレスコンテンツ管理システムです。バージョン0.4.3以前では、updateUserNotificationsエンドポイントがリクエストペイロードからユーザーIDを受け取り、そのユーザーの通知設定を更新します。呼び出し元がログインしていることは確認しますが、呼び出し元が対象アカウントの所有者であるかどうか（id !== userData.user.id）を検証しませんでした。これにより、認証された訪問者は悪意ある活動の検出を抑制する目的で管理者通知を無効にするなど、任意のユーザーの通知設定を変更できる脆弱性が存在しました。この脆弱性はバージョン0.4.3で修正されました。 cpe:/a:studiocms:studiocms https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-007634.html Common Vulnerabilities and Exposures (CVE) CVE-2026-32104 https://www.cve.org/CVERecord?id=CVE-2026-32104 National Vulnerability Database (NVD) CVE-2026-32104 https://nvd.nist.gov/vuln/detail/CVE-2026-32104 GitHub IDOR in User Notification Preferences Allows Any Authenticated User to Modify Any User's Settings Advisory withstudiocms/studiocms GitHub https://github.com/withstudiocms/studiocms/security/advisories/GHSA-9v82-xrm4-mp52 JVNDB CWE-639 https://cwe.mitre.org/data/definitions/639.html 2026-03-18T13:27:17+09:00 2026-03-18T13:27:17+09:00