Apache Software FoundationのApache FineractにおけるSQL インジェクションの脆弱性
タイトル Apache Software FoundationのApache FineractにおけるSQL インジェクションの脆弱性
概要

Apache FineractのReport Execution API(runreportsエンドポイント)に、バージョン1.14.0までおよびそれを含むバージョンにSQLインジェクションの脆弱性が存在します。レポートのパラメータ値が生成されるSQLクエリに対して十分に検証されることなく組み込まれるため、レポート実行権限を持つ認証済みユーザーが細工したパラメータ値を介して任意のSQLを注入できます。これにより、レポートが本来露出させる設計の範囲を超えたデータに不正アクセスできるようになります。ユーザーは修正を含むバージョンへアップグレードすることを推奨します。

想定される影響 ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 
対策

ベンダ情報を参照して適切な対策を実施してください。

公表日 2026年7月15日0:00
登録日 2026年7月17日11:18
最終更新日 2026年7月17日11:18
CVSS3.0 : 重要
スコア 8.8
ベクター CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
影響を受けるシステム
Apache Software Foundation
Apache Fineract 1.15.0 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2026年07月17日]
  掲載
2026年7月17日11:18

NVD脆弱性情報
CVE-2026-35152
概要

A SQL Injection vulnerability exists in Apache Fineract's Report Execution API (runreports endpoint) in versions up to and including 1.14.0. Report parameter values are incorporated into the generated SQL query without sufficient validation, allowing an authenticated user with permission to run reports to inject arbitrary SQL via crafted parameter values. This can be leveraged to perform unauthorized access to data beyond what the report was designed to expose. Users are recommended to upgrade to a version containing the fix.

公表日 2026年7月15日19:16
登録日 2026年7月16日4:26
最終更新日 2026年7月16日1:17
関連情報、対策とツール
共通脆弱性一覧