無料スキャン
分析待ちCVE-2026-5545

CVE-2026-5545: HTTP認証再利用の誤り libcurl

プラットフォーム

c

コンポーネント

curl

修正版

8.19.1

NVDで見る
保存

CVE-2026-5545は、libcurlにおいてHTTP(S)認証リクエストの再利用に関する脆弱性です。認証情報が異なる場合でも、以前の認証済み接続が誤って再利用される可能性があります。この問題は、libcurlが接続を再利用する際に、必要な条件を正しく検証しないことに起因します。影響を受けるバージョンは8.12.0から8.19.0で、8.19.1で修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者は機密情報を盗み出す可能性があります。例えば、認証されたユーザーとして別のユーザーのデータにアクセスしたり、機密性の高い情報を傍受したりすることが考えられます。攻撃者は、最初に有効な認証情報を使用して接続を確立し、次に脆弱なバージョンのlibcurlを使用するアプリケーションを通じて、異なる認証情報で認証された接続を再利用することで、この脆弱性を悪用できます。この攻撃は、WebアプリケーションやAPIサーバーなど、libcurlを使用する多くのシステムに影響を与える可能性があります。攻撃の成功は、アプリケーションが接続の再利用方法に依存し、認証情報の検証が不十分な場合に高まります。

悪用の状況

このCVEは2026年5月13日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていません。しかし、認証情報の再利用は一般的な攻撃手法であり、この脆弱性が悪用される可能性は否定できません。EPSSスコアはまだ評価されていませんが、認証情報の漏洩につながる可能性があるため、潜在的なリスクは高いと考えられます。NVDおよびCISAの情報を継続的に監視し、最新の脅威インテリジェンスに基づいて対応を検討する必要があります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO

EPSS

0.04% (13% パーセンタイル)

影響を受けるソフトウェア

コンポーネントcurl
ベンダーcurl
最小バージョン8.12.0
最大バージョン8.19.0
修正版8.19.1

弱点分類 (CWE)

CWE-305

タイムライン

  1. 予約済み
  2. 公開日
  3. EPSS 更新日

緩和策と回避策

この脆弱性への主な対策は、libcurlをバージョン8.19.1以降にアップデートすることです。アップデートがすぐに利用できない場合は、WAF(Web Application Firewall)を使用して、認証情報の再利用に関連する異常なリクエストをブロックすることを検討してください。また、アプリケーションレベルで、接続の再利用を制限したり、認証情報を厳密に検証したりする対策を講じることも有効です。接続プーリングの設定を見直し、認証情報が正しく検証されるように構成する必要があります。アップデート後、libcurlのバージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

Actualice a la versión 8.19.1 o posterior para evitar la reutilización incorrecta de conexiones HTTP Negotiate. Esta vulnerabilidad permite que un atacante potencialmente robe credenciales al reutilizar conexiones autenticadas incorrectamente.  Verifique las fuentes oficiales de libcurl para obtener instrucciones de actualización específicas para su sistema operativo.

よくある質問

CVE-2026-5545 — HTTP認証再利用の誤り libcurlとは何ですか?

CVE-2026-5545は、libcurl 8.12.0–8.19.0において、HTTP(S)認証リクエストの再利用時に誤った接続が再利用される可能性のある脆弱性です。これにより、認証情報が異なる場合でも、以前の認証済み接続が誤って再利用される可能性があります。

CVE-2026-5545におけるlibcurlの影響を受ける可能性はありますか?

libcurlのバージョンが8.12.0から8.19.0を使用している場合、CVE-2026-5545の影響を受ける可能性があります。バージョン8.19.1以降にアップデートすることで、この脆弱性を修正できます。

CVE-2026-5545におけるlibcurlを修正するにはどうすればよいですか?

CVE-2026-5545を修正するには、libcurlをバージョン8.19.1以降にアップデートしてください。アップデートがすぐに利用できない場合は、WAFを使用して異常なリクエストをブロックすることを検討してください。

CVE-2026-5545は現在積極的に悪用されていますか?

現時点では、CVE-2026-5545を悪用した具体的な攻撃事例は報告されていませんが、認証情報の再利用は一般的な攻撃手法であるため、悪用される可能性は否定できません。

CVE-2026-5545におけるlibcurlの公式アドバイザリはどこで入手できますか?

libcurlの公式アドバイザリは、libcurlのウェブサイト(https://curl.se/security/)で確認できます。CVE-2026-5545に関する詳細な情報も掲載されています。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...