無料スキャン
分析待ちCVE-2026-7168

CVE-2026-7168: Digest認証の不備による情報漏洩 in libcurl

プラットフォーム

c

コンポーネント

curl

修正版

8.19.1

NVDで見る
保存

CVE-2026-7168は、libcurlにおいてDigest認証を使用する際に発生する脆弱性です。特定のHTTPプロキシ (proxyA) を経由してリクエストを送信した後、別のプロキシ (proxyB) に接続する際に、意図しないProxy-Authorization:ヘッダが送信される可能性があります。この脆弱性は、機密情報の漏洩につながる可能性があります。影響を受けるバージョンはlibcurl 8.12.0から8.19.0です。バージョン8.19.1で修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者は機密情報を盗み出す可能性があります。例えば、プロキシサーバーが認証情報を記録している場合、攻撃者は別のプロキシにリクエストを送信する際に、以前のプロキシの認証情報を再利用し、不正にアクセスできる可能性があります。攻撃者は、中間者攻撃(Man-in-the-Middle attack)を利用して、この脆弱性を悪用し、機密情報を傍受する可能性があります。この脆弱性は、特に機密情報を扱うアプリケーションやサービスにおいて、深刻な影響を与える可能性があります。

悪用の状況

本脆弱性は、2026年5月13日に公開されました。現時点では、KEV(Kernel Exploitability Tracking)への登録状況は不明です。EPSS(Exploit Prediction Scoring System)のスコアはまだ評価されていません。公的なPoC(Proof of Concept)は確認されていませんが、Digest認証の脆弱性は過去に悪用事例があるため、注意が必要です。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の情報を入手するようにしてください。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO

EPSS

0.03% (10% パーセンタイル)

影響を受けるソフトウェア

コンポーネントcurl
ベンダーcurl
最小バージョン8.12.0
最大バージョン8.19.0
修正版8.19.1

弱点分類 (CWE)

CWE-294

タイムライン

  1. 予約済み
  2. 公開日
  3. EPSS 更新日

緩和策と回避策

この脆弱性への対応策として、まずlibcurlをバージョン8.19.1以上にアップデートすることを推奨します。アップデートが困難な場合は、プロキシの設定を見直し、同じ認証情報を再利用しないように構成を変更してください。また、WAF(Web Application Firewall)やプロキシサーバーの設定で、不審なProxy-Authorization:ヘッダの送信を検知・遮断するルールを実装することも有効です。プロキシサーバーのログを監視し、異常なアクセスパターンを検出することも重要です。アップデート後、libcurlのバージョンを確認し、脆弱性が解消されていることを確認してください。

修正方法翻訳中…

Actualice a la versión 8.19.1 o posterior de libcurl para evitar la fuga de estado de autenticación Digest. Esta vulnerabilidad permite que la información de autenticación de un proxy se transmita incorrectamente a otro proxy, lo que podría comprometer la seguridad de las comunicaciones.

よくある質問

CVE-2026-7168 — Digest認証の不備 in libcurlとは何ですか?

CVE-2026-7168は、libcurlにおいてDigest認証を使用する際に、プロキシサーバー間で誤った認証情報が送信される脆弱性です。これにより、機密情報が漏洩する可能性があります。

CVE-2026-7168 in libcurlで影響を受けますか?

libcurlのバージョンが8.12.0から8.19.0の範囲にある場合、影響を受けます。バージョン8.19.1以降を使用している場合は、影響を受けません。

CVE-2026-7168 in libcurlを修正するにはどうすればよいですか?

libcurlをバージョン8.19.1以上にアップデートしてください。アップデートが困難な場合は、プロキシの設定を見直し、同じ認証情報を再利用しないように構成を変更してください。

CVE-2026-7168は積極的に悪用されていますか?

現時点では公的なPoCは確認されていませんが、Digest認証の脆弱性は過去に悪用事例があるため、注意が必要です。

CVE-2026-7168に関するlibcurlの公式アドバイザリはどこで入手できますか?

libcurlの公式ウェブサイトまたはセキュリティアナウンスメントをご確認ください。https://curl.se/security/

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...