JVN iPedia
http://jvndb.jvn.jp
Advisory
JVNDB-2026-017378
Apache Software FoundationのApache Syncopeにおけるデータクエリからの重要な情報の漏えいに関する脆弱性
Apache Syncopeにおいて、データクエリを通じて機密情報が露出する脆弱性が存在します。適切な権限を持つ管理者が悪意のあるJEXL式を作成できるため、その結果としてユーザーの読み取り権限を持つ任意の管理者がユーザーに関連するセキュリティ上敏感な情報にアクセス可能になります。この問題はApache Syncopeのバージョン3.0から3.0.16、4.0から4.0.5、および4.1.0に影響します。ユーザーはこの問題を修正し、JEXL式の定義をさらに制限したバージョン4.0.6および4.1.1にアップグレードすることを推奨します。
cpe:/a:apache:syncope
https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-017378.html
Common Vulnerabilities and Exposures (CVE)
CVE-2026-42797
https://www.cve.org/CVERecord?id=CVE-2026-42797
National Vulnerability Database (NVD)
CVE-2026-42797
https://nvd.nist.gov/vuln/detail/CVE-2026-42797
Pony Mail
CVE-2026-42797: Apache Syncope: JexlContextBuilder Information Disclosure-Apache Mail Archives
https://lists.apache.org/thread/5y7d277sntyytrmxnx2tfjr9ftcpq1s6
JVNDB
CWE-202
データクエリからの重要な情報の漏えい
https://cwe.mitre.org/data/definitions/202.html
Openwall mailing list archives
oss-security - CVE-2026-42797: Apache Syncope: JexlContextBuilder Information Disclosure
http://www.openwall.com/lists/oss-security/2026/05/25/5
2026-06-03T15:36:31+09:00
2026-06-03T15:36:31+09:00