Rce

• K000156741 は BIG-IP APM の脆弱性を表しており、元々は DoS で再分類されています。
• CVSS スコアが CVSS v3.1/4.0 でも 9.8/9.3 と極めて高レベルに上昇しました。
• この脆弱性の再分類は RCE として脅威評価を根本的に変容させた事実です。

DoS から RCE への脆弱性再分類は、攻撃範囲と影響度の質的重大変化を示します。これによりセキュリティ対策の優先順位が完全に逆転する可能性があります。

• EspoCRM ≤9.3.3 で公式エンジン経由でファイルパス書き込み回避された認証済み遠隔コード実行 (RCE) の脆弱性 CVE-2026-33656 が暴露。
• rotyOnly フィールドを含むソースIDが直接コンカテネイトされサンチマイゼーションなしで、WebShell アップロードと.htaccess 汚染を通じた RCE に繋がった。
• 6 リクエスト、管理者権限必要としコサインディスクロージャーにより patch 済みの 9.3.4 で修正された事例である。

公式エンジンで ACL バージョン制御が破綻し、外部システムからのファイル書き込みと RCE を可能にした、高度なサプライチェーン攻撃の具体例である。