この度、弊社製品「抹茶請求書」において、セキュリティ上の脆弱性が確認されました。
これを受け、脆弱性を修正した最新バージョン2.6.7をリリースいたしました。
本アップデートには、データベース内の情報漏洩や不正操作につながる深刻な脆弱性への対策が含まれています。
旧バージョンをご利用のお客様は、速やかに最新版へのアップデートを行っていただきますようお願い申し上げます。
1) 修正された脆弱性の内容
- SQLインジェクションの脆弱性 CWE-89(CVE-2026-24913)
[内容] ログイン可能なユーザーにより、特定のパラメータ(params[sort]など)を介して任意のSQLコマンドが実行される可能性があります。
[影響] データベース内の情報の漏洩、改ざん、または削除が行われる恐れがあります。
- 任意のファイル書き込みの脆弱性 CWE-434(CVE-2026-33273)
[内容] 管理者権限を持つユーザーにより、サーバー上の任意のパスにPHPファイルを書き込まれる可能性があります。
[影響] 攻撃者によってサーバーの制御を奪取される恐れがあります。
2) 対象製品・バージョン
抹茶請求書 2.6.6およびそれ以前のバージョン
3) アップデート方法
新しいバージョンは製品のダウンロードページからダウンロードすることができます。
旧バージョンからのアップデートについては、開発者ブログ「抹茶のバージョンアップ方法」をご参照ください。
4) 謝辞
本脆弱性情報(CVE-2026-24913)の報告をいただきました、三井物産セキュアディレクション株式会社の近川健太氏、ならびに調整にあたられたJPCERTコーディネーションセンター(JPCERT/CC)に深く感謝申し上げます。
【オープンソース版をご利用の皆様へ】
現在、抹茶請求書のオープンソース版は、すでに公式サポートが終了しているPHP5.6環境での動作を前提としております。
セキュリティの観点から、オープンソース版はシステムの検証目的としての利用に留めていただくことを推奨します。
最新のPHP8.2に対応し、より強固なセキュリティを備えた「有償版」への移行も併せてご検討ください。
有償版に関するお問い合わせ先
株式会社アイシーズ お問い合わせフォーム