無料スキャン
分析待ちCVE-2026-24072

CVE-2026-24072: 特権昇格 in Apache HTTP Server

プラットフォーム

apache

コンポーネント

apache-http-server

修正版

2.4.67

NVDで見る
保存

Apache HTTP Server の 2.4.0 から 2.4.66 までのバージョンにおいて、特権昇格の脆弱性が発見されました。この脆弱性を悪用されると、ローカルの .htaccess ファイルの作成者が、Apache HTTP Server プロセスを実行しているユーザー(httpd ユーザー)の権限でファイルを読み取ることが可能になります。影響を受けるユーザーは、Apache HTTP Server をバージョン 2.4.67 にアップグレードすることを推奨します。

影響と攻撃シナリオ

この脆弱性は、ローカルの攻撃者が Apache HTTP Server プロセスを実行しているユーザーの権限で機密情報を読み取ることができるため、重大なセキュリティリスクをもたらします。攻撃者は、.htaccess ファイルを操作することで、サーバー上の機密ファイル(設定ファイル、ログファイル、データベース接続情報など)にアクセスできる可能性があります。これにより、攻撃者はサーバーの制御を奪取したり、機密データを盗み出したり、さらなる攻撃を仕掛けたりする可能性があります。特に、httpd ユーザーがシステム上の他のリソースへのアクセス権を持っている場合、攻撃者はこの脆弱性を利用して、システム全体へのアクセス権を得ることも可能です。

悪用の状況

この脆弱性は、2026年5月4日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていません。しかし、ローカルファイル読み取りの脆弱性は、しばしば悪用される可能性が高いため、早急な対応が必要です。KEV (Key Evidence) の評価は未定です。EPSS (Exploit Prediction Score System) の評価も保留中です。NVD (National Vulnerability Database) および CISA (Cybersecurity and Infrastructure Security Agency) の情報も確認してください。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO

EPSS

0.06% (19% パーセンタイル)

影響を受けるソフトウェア

コンポーネントapache-http-server
ベンダーApache Software Foundation
最小バージョン2.4.0
最大バージョン2.4.66
修正版2.4.67

弱点分類 (CWE)

CWE-269

タイムライン

  1. 公開日
  2. 更新日
  3. EPSS 更新日

緩和策と回避策

この脆弱性への最善の対応は、Apache HTTP Server をバージョン 2.4.67 にアップグレードすることです。アップグレードがすぐに実行できない場合は、.htaccess ファイルのアクセス権を制限することで、攻撃の影響を軽減できます。具体的には、.htaccess ファイルへの書き込み権限を httpd ユーザーのみに制限し、他のユーザーがファイルを変更できないようにします。また、WAF (Web Application Firewall) を導入し、不正な .htaccess ファイルの書き込みを検知・ブロックすることも有効です。Apache HTTP Server の設定ファイルで、AllowOverride ディレクティブを None に設定することで、.htaccess ファイルの処理を完全に無効化することも可能です。

修正方法翻訳中…

Actualice su instalación de Apache HTTP Server a la versión 2.4.67 o posterior para mitigar este riesgo. La actualización corrige una vulnerabilidad de elevación de privilegios que permite a los autores de .htaccess leer archivos con los privilegios del usuario httpd.

よくある質問

CVE-2026-24072 — 特権昇格 in Apache HTTP Server とは何ですか?

CVE-2026-24072 は、Apache HTTP Server 2.4.0–2.4.66 におけるローカルの .htaccess 著者が httpd ユーザーの権限でファイルを読み取れる脆弱性です。攻撃者はこの脆弱性を悪用して、機密情報を盗み出す可能性があります。

CVE-2026-24072 in Apache HTTP Server に影響されていますか?

Apache HTTP Server のバージョンが 2.4.0 から 2.4.66 の場合は、この脆弱性に影響されています。バージョン 2.4.67 以降にアップグレードすることで修正されます。

CVE-2026-24072 in Apache HTTP Server を修正するにはどうすればよいですか?

Apache HTTP Server をバージョン 2.4.67 以降にアップグレードしてください。アップグレードがすぐに実行できない場合は、.htaccess ファイルのアクセス権を制限するか、WAF を導入するなど、緩和策を講じてください。

CVE-2026-24072 は積極的に悪用されていますか?

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、ローカルファイル読み取りの脆弱性は悪用される可能性が高いため、早急な対応が必要です。

CVE-2026-24072 の Apache HTTP Server の公式アドバイザリはどこで入手できますか?

Apache HTTP Server の公式アドバイザリは、Apache Software Foundation のウェブサイトで確認できます。https://httpd.apache.org/security/ のセキュリティアドバイザリを参照してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...