製品・ソフトウェアに関する情報

JVN脆弱性詳細

Decidim Free Software AssociationのDecidimにおける不適切な権限設定に関する脆弱性

Title	Decidim Free Software AssociationのDecidimにおける不適切な権限設定に関する脆弱性
Summary	Decidimは参加型民主主義フレームワークです。バージョン0.19.0から0.30.5および0.31.1の前のバージョンにかけて、任意の登録済み認証ユーザーが任意の修正案を承認または拒否できる脆弱性があります。この脆弱性は、修正機能が有効になっている提案を作成したユーザーに影響を及ぼします。また、提案を修正するユーザーは共同著者として扱われるため、修正を受け入れたユーザーが元の提案の著者として権限を昇格されることになります。バージョン0.30.5および0.31.1でこの問題は修正されました。回避策として、修正可能なコンポーネント（例：提案）に対する修正反応を無効にしてください。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 21, 2026, midnight
Registration Date	April 27, 2026, 11:20 a.m.
Last Update	April 27, 2026, 11:20 a.m.

CVSS3.0 : 警告
Score	6.5
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40869	https://www.cve.org/CVERecord?id=CVE-2026-40869
National Vulnerability Database (NVD)
2	CVE-2026-40869	https://nvd.nist.gov/vuln/detail/CVE-2026-40869

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-266	https://cwe.mitre.org/data/definitions/266.html

ベンダー情報

No	Name	URL
GitHub
1	Amendments can be accepted or rejected by anyone Advisory decidim/decidim GitHub	https://github.com/decidim/decidim/security/advisories/GHSA-w5xj-99cg-rccm

その他

No	Name	URL
関連文書
1	Admin configuration of amendments by step (#5178) decidim/decidim@1b99136 GitHub	https://github.com/decidim/decidim/commit/1b99136a1c7aa02616a0b54a6ab88d12907a57a9

Change Log

No	Changed Details	Date of change
1	[2026年04月27日] 掲載	April 27, 2026, 11:20 a.m.

NVD Vulnerability Information

CVE-2026-40869

Summary	Decidim is a participatory democracy framework. Starting in version 0.19.0 and prior to versions 0.30.5 and 0.31.1, a vulnerability allows any registered and authenticated user to accept or reject any amendments. The impact is on any users who have created proposals where the amendments feature is enabled. This also elevates the user accepting the amendment as the author of the original proposal as people amending proposals are provided coauthorship on the coauthorable resources. Versions 0.30.5 and 0.31.1 fix the issue. As a workaround, disable amendment reactions for the amendable component (e.g. proposals).
Publication Date	April 22, 2026, 5:17 a.m.
Registration Date	April 25, 2026, 4:03 a.m.
Last Update	April 24, 2026, 1:08 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:decidim:decidim::::::ruby::*	0.19.0			0.30.5
cpe:2.3:a:decidim:decidim::::::ruby::*	0.31.0			0.31.1

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/decidim/decidim/commit/1b99136a1c7aa02616a0b54a6ab88d12907a57a9	security-advisories@github.com
2	https://github.com/decidim/decidim/security/advisories/GHSA-w5xj-99cg-rccm	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-266	不適切な権限設定	https://cwe.mitre.org/data/definitions/266.html