製品・ソフトウェアに関する情報

JVN脆弱性詳細

Twenty.com PBCのTwentyにおける複数の脆弱性

Title	Twenty.com PBCのTwentyにおける複数の脆弱性
Summary	TwentyはオープンソースのCRMです。バージョン1.7.7から1.16.7までの間に、Twenty CRMには連鎖的なSQLインジェクションとPostgreSQLのCOPY TO PROGRAM攻撃による重大なリモートコード実行（RCE）脆弱性が存在します。Postgresユーザーがスーパーユーザーである場合、認証された任意のユーザーがREST APIのgroupByエンドポイントでサニタイズされていないtimeZoneパラメータを通じてSQLを注入することにより、データベースサーバー上で任意のOSコマンドを実行できます。group_byクエリパラメータ内のtimeZoneフィールドはJavaScriptのテンプレートリテラルを用いて直接生のSQL式に組み込まれており、パラメータ化、検証、またはエスケープが一切行われていません。本脆弱性はengine/api/graphql/graphql-query-runner/group-by/resolvers/utils/get-group-by-expression.util.tsに影響を与えます。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 26, 2026, midnight
Registration Date	May 29, 2026, 11:16 a.m.
Last Update	May 29, 2026, 11:16 a.m.

CVSS3.0 : 緊急
Score	9.9
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Affected System

Twenty.com PBC

Twenty 1.7.7 以上 1.16.7 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-46624	https://www.cve.org/CVERecord?id=CVE-2026-46624
National Vulnerability Database (NVD)
2	CVE-2026-46624	https://nvd.nist.gov/vuln/detail/CVE-2026-46624

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-78	https://jvndb.jvn.jp/ja/cwe/CWE-78.html
2	CWE-89	https://jvndb.jvn.jp/ja/cwe/CWE-89.html

ベンダー情報

No	Name	URL
GitHub
1	SQL Injection on v <=1.16.7 Advisory twentyhq/twenty GitHub	https://github.com/twentyhq/twenty/security/advisories/GHSA-jgx4-6mr9-9573

Change Log

No	Changed Details	Date of change
1	[2026年05月29日] 掲載	May 29, 2026, 11:16 a.m.

NVD Vulnerability Information

CVE-2026-46624

Summary	Twenty is an open source CRM. From 1.7.7 through 1.16.7, a critical Remote Code Execution (RCE) vulnerability exists in Twenty CRM via a chained SQL Injection and PostgreSQL COPY TO PROGRAM attack. If Postgres user is a super user then any authenticated user can execute arbitrary OS commands on the database server by injecting SQL through the unsanitized timeZone parameter in the REST API groupBy endpoint. The timeZone field within the group_by query parameter is directly interpolated into a raw SQL expression using JavaScript template literals without any parameterization, validation, or escaping. This affects engine/api/graphql/graphql-query-runner/group-by/resolvers/utils/get-group-by-expression.util.ts.
Publication Date	May 27, 2026, 3:16 a.m.
Registration Date	May 27, 2026, 4:08 a.m.
Last Update	May 27, 2026, 11:45 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:twenty:twenty::::::::		1.7.7			1.16.7

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/twentyhq/twenty/security/advisories/GHSA-jgx4-6mr9-9573	security-advisories@github.com
2	https://github.com/twentyhq/twenty/security/advisories/GHSA-jgx4-6mr9-9573	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-78	OSコマンド・インジェクション	https://cwe.mitre.org/data/definitions/78.html
2	CWE-89	SQLインジェクション	https://cwe.mitre.org/data/definitions/89.html