HIGHCVE-2020-36939CVSS 7.5

Cassandra Web 0.5.0 - リモートファイル読み込み

プラットフォーム

ruby

コンポーネント

cassandra-web

修正版

0.5.1

AI Confidence: highNVDEPSS 0.7%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2020-36939は、Apache Cassandra Web 0.5.0に存在するディレクトリトラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者は認証なしで任意のファイルを読み取ることが可能となり、機密情報が漏洩するリスクがあります。影響を受けるバージョンは0.5.0のみです。Rack::Protectionモジュールの有効化、またはバージョンアップグレードによって脆弱性を修正できます。

影響と攻撃シナリオ

この脆弱性は、攻撃者がCassandra Webインターフェースを通じてシステムファイルにアクセスすることを可能にします。特に、/etc/passwdのようなファイルからユーザーアカウント情報、あるいはApache Cassandraデータベースの認証情報を窃取される可能性があります。攻撃者は、Rack::Protectionモジュールが無効になっていることを前提に、パスパラメータを巧妙に操作することで、意図しないファイルへのアクセスを試みます。この脆弱性の悪用は、システム全体の機密性侵害につながる可能性があり、深刻な影響を及ぼす可能性があります。

悪用の状況

このCVEは2026年1月27日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、ディレクトリトラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。公開されているPoCは確認されていません。CISA KEVリストへの登録状況は不明です。

リスク対象者翻訳中…

Organizations running Cassandra Web version 0.5.0, particularly those with misconfigured deployments where the Rack::Protection module is disabled, are at significant risk. Shared hosting environments where Cassandra Web is deployed alongside other applications are also vulnerable, as an attacker could potentially exploit this vulnerability to gain access to the entire hosting environment.

検出手順翻訳中…

• ruby / web:

# Check for suspicious file access attempts in Cassandra Web logs
# Look for patterns like '../' or '..\'

• generic web:

# Check for directory listing exposure
curl -I <cassandra_web_url>/..

攻撃タイムライン

2026-01-27Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.66% (71% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントcassandra-web

ベンダーavalanche123

影響範囲修正版

0.5.0 – 0.5.00.5.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-01-25
公開日2026-01-27
更新日2026-04-07
EPSS 更新日2026-03-23

未パッチ — 公開から117日経過

緩和策と回避策

この脆弱性への対応策として、まずCassandra Webを最新バージョンにアップグレードすることを推奨します。アップグレードが困難な場合は、Rack::Protectionモジュールを有効にすることで、ディレクトリトラバーサル攻撃を軽減できます。Rack::Protectionモジュールは、不正なパスパラメータによるファイルアクセスを防止する役割を果たします。また、Webアプリケーションファイアウォール（WAF）を導入し、ディレクトリトラバーサル攻撃のパターンを検知・遮断するルールを設定することも有効です。アクセスログを監視し、不審なアクセスパターンを早期に発見することも重要です。

修正方法翻訳中…

Actualice a una versión corregida de Cassandra Web que solucione la vulnerabilidad de recorrido de directorios.  Verifique la documentación del proyecto o el repositorio de GitHub para obtener información sobre las versiones disponibles y las instrucciones de actualización.  Como no hay una versión corregida disponible, considere deshabilitar o eliminar el componente Cassandra Web hasta que se publique una actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2020-36939 — ディレクトリトラバーサル in Cassandra Webとは何ですか？

CVE-2020-36939は、Cassandra Web 0.5.0におけるディレクトリトラバーサル脆弱性であり、攻撃者がパスパラメータを操作することで任意のファイルを読み取れる可能性があります。

CVE-2020-36939 in Cassandra Webに影響を受けますか？

Cassandra Webのバージョンが0.5.0である場合、この脆弱性に影響を受ける可能性があります。

CVE-2020-36939 in Cassandra Webを修正するにはどうすればよいですか？

Cassandra Webを最新バージョンにアップグレードするか、Rack::Protectionモジュールを有効にすることで脆弱性を修正できます。

CVE-2020-36939は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、注意が必要です。

CVE-2020-36939のApache Cassandra公式アドバイザリはどこで入手できますか？

Apache Cassandraの公式アドバイザリは、Apacheプロジェクトのウェブサイトで確認できます。