製品・ソフトウェアに関する情報

JVN脆弱性詳細

Apache Software Foundationのanswerにおける認可されていない行為者への個人情報の漏えいに関する脆弱性

Title	Apache Software Foundationのanswerにおける認可されていない行為者への個人情報の漏えいに関する脆弱性
Summary	Apache Answer における未承認の攻撃者による個人情報漏洩の脆弱性です。本脆弱性は Apache Answer 2.0.0 までに影響します。タイムライン関連のAPIに適切な認可チェックが欠如しているため、通常の認証ユーザーが削除済み、非公開、未承認のコンテンツおよびその改訂履歴にアクセスできてしまう問題があります。ユーザーはこの問題を修正したバージョン 2.0.1 へのアップグレードを推奨します。
Possible impacts	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 9, 2026, midnight
Registration Date	June 11, 2026, 4:12 p.m.
Last Update	June 11, 2026, 4:12 p.m.

Affected System

Apache Software Foundation

answer 2.0.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-25699	https://www.cve.org/CVERecord?id=CVE-2026-25699
National Vulnerability Database (NVD)
2	CVE-2026-25699	https://nvd.nist.gov/vuln/detail/CVE-2026-25699
Pony Mail
3	CVE-2026-25699: Apache Answer: Authorization Bypass in Timeline API-Apache Mail Archives	https://lists.apache.org/thread/c36k4hzwhncqo0qfn5fg57f1gkjhyfv8

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-359	https://cwe.mitre.org/data/definitions/359.html

ベンダー情報

No	Name	URL
Openwall mailing list archives
1	oss-security - CVE-2026-25699: Apache Answer: Authorization Bypass in Timeline API	http://www.openwall.com/lists/oss-security/2026/06/09/6

Change Log

No	Changed Details	Date of change
1	[2026年06月11日] 掲載	June 11, 2026, 4:12 p.m.

NVD Vulnerability Information

CVE-2026-25699

Summary	Exposure of Private Personal Information to an Unauthorized Actor vulnerability in Apache Answer. This issue affects Apache Answer: through 2.0.0. Timeline-related APIs lacked proper authorization checks, allowing regular authenticated users to access deleted, private, or unapproved content and its revision history. Users are recommended to upgrade to version 2.0.1, which fixes the issue.
Publication Date	June 9, 2026, 6:16 p.m.
Registration Date	June 10, 2026, 4:15 a.m.
Last Update	June 10, 2026, 10:38 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:apache:answer::::::::					2.0.1

Related information, measures and tools

No	URL	refsource	タグ
1	https://lists.apache.org/thread/c36k4hzwhncqo0qfn5fg57f1gkjhyfv8	security@apache.org
2	http://www.openwall.com/lists/oss-security/2026/06/09/6	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-359	認可されていないアクターへの個人情報の漏えい	https://cwe.mitre.org/data/definitions/359.html