ConnectWise PSA 2026.1 セキュリティ修正 日付: 2026年1月15日 製品: ConnectWise PSA 重大度: Important 優先度: 2 - Moderate 概要 ConnectWise PSAのバージョン2026.1より以前のバージョンでは、タイムエントリ注釈の処理に関する特定の条件により、PSA WebクライアントおよびPSA Desktopの両方でStored Scriptの実行が許可される可能性がありました。また、別の条件により、クライアントサイドから特定のセッションCookieへのアクセスが許可される可能性もありました。PSA 2026.1リリースでは、入力処理およびセッションCookieの設定が更新され、これらの問題に対処しています。最新の利用可能なバージョンへのアップグレードを推奨します。 脆弱性 CVE-2026-0695 - CWE ID: CWE-79 - 説明: Webページ生成時の入力の不適切な中和('Cross-site Scripting') - ベーススコア: 8.7 - ベクター: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N CVE-2026-0696 - CWE ID: CWE-668 - 説明: 誤ったスフィアへのリソースの露出('Resource Injection') - ベーススコア: 4.7 - ベクター: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N 推奨重大度 2 - Moderate: 標的となっている、または現実世界のエクスプロイトによる標的化のリスクが高い脆弱性。緊急変更として、または可能であれば迅速に(例:数日以内)更新のインストールを推奨します。 影響を受けるバージョン 2026.1より以前のすべてのバージョン 対策 Cloud - クラウドインスタンスは、ConnectWise PSAの最新リリースに自動的に更新されています。 On-premise - 2026.1リリースのパッチを適用し、すべてのデスクトップクライアントが最新であることを確認してください。