CRITICALCVE-2022-0766CVSS 9.8

calibrewebにおけるサーバーサイドリクエストフォージェリ

Q: CVE-2022-0766 in calibrewebを修正するにはどうすればよいですか？

calibrewebをバージョン0.6.17にアップデートしてください。アップデートが困難な場合は、WAFを使用して`0.0.0.0`を含むリクエストをブロックするルールを実装することを検討してください。

プラットフォーム

python

コンポーネント

calibreweb

修正版

0.6.17

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2022-0766は、calibrewebのバージョン0.6.16以前に存在するサーバーサイドリクエストフォージェリ（SSRF）の脆弱性です。この脆弱性を悪用されると、攻撃者は内部ネットワークリソースにアクセスできる可能性があります。影響を受けるバージョンは0.6.16以前です。現在、バージョン0.6.17へのアップデートで修正されています。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者がcalibrewebサーバーを経由して内部ネットワークリソースにアクセスすることを可能にします。例えば、攻撃者は内部データベースや管理インターフェースにアクセスし、機密情報を盗み出したり、システムを制御したりする可能性があります。0.0.0.0のようなIPアドレスがブラックリストのチェックを回避することで、localhostへのリクエストが可能となり、内部サービスへのアクセスが容易になります。この脆弱性は、内部ネットワークのセキュリティを脅かす重大なリスクとなります。

悪用の状況

CVE-2022-0766は、CVE-2022-0339の不完全な修正に起因する脆弱性です。現時点では、KEV（CISA Known Exploited Vulnerabilities）に登録されていません。公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用される可能性が高いため、注意が必要です。2022年3月8日に公開されました。

リスク対象者翻訳中…

Organizations and individuals using calibreweb for ebook management, particularly those hosting the application internally or in shared hosting environments, are at risk. Users relying on calibreweb to manage sensitive library data or integrate with internal systems are especially vulnerable.

検出手順翻訳中…

• linux / server: Monitor calibreweb access logs for requests containing 0.0.0.0 or other suspicious hostnames. Use journalctl -u calibreweb to check for error messages related to request forwarding.

grep '0.0.0.0' /var/log/calibreweb/access.log

• generic web: Use curl to attempt a request to calibreweb with 0.0.0.0 as the hostname and verify that it is blocked.

curl -v http://your-calibreweb-server/0.0.0.0

攻撃タイムライン

2022-03-08Disclosure
disclosure
2022-03-08Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.29% (52% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントcalibreweb

ベンダーosv

影響範囲修正版

unspecified – 0.6.170.6.17

—0.6.17

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2022-02-26
公開日2022-03-08
更新日2025-02-18
EPSS 更新日2026-04-02

公開後-1日でパッチ適用

緩和策と回避策

この脆弱性への最も効果的な対策は、calibrewebをバージョン0.6.17にアップデートすることです。アップデートが困難な場合は、WAF（Web Application Firewall）を使用して、0.0.0.0を含むリクエストをブロックするルールを実装することを検討してください。また、calibrewebがアクセスできる内部ネットワークを制限することも有効です。アップデート後、バージョン0.6.17が正しくインストールされ、SSRF攻撃がブロックされていることを確認してください。

修正方法

calibre-webをバージョン0.6.17以降にアップデートしてください。このバージョンにはSSRF脆弱性に対する修正が含まれています。Pythonのパッケージマネージャー (pip) を使用するか、ベンダーが提供するアップデート手順に従ってアップデートできます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2022-0766 — SSRF in calibrewebとは何ですか？

CVE-2022-0766は、calibrewebのバージョン0.6.16以前に存在するサーバーサイドリクエストフォージェリ（SSRF）の脆弱性です。攻撃者はこの脆弱性を利用して、内部ネットワークリソースにアクセスできる可能性があります。

CVE-2022-0766 in calibrewebで影響を受けますか？

calibrewebのバージョンが0.6.16以前の場合は、影響を受けます。バージョン0.6.17にアップデートすることで、この脆弱性を修正できます。

CVE-2022-0766 in calibrewebを修正するにはどうすればよいですか？

calibrewebをバージョン0.6.17にアップデートしてください。アップデートが困難な場合は、WAFを使用して0.0.0.0を含むリクエストをブロックするルールを実装することを検討してください。

CVE-2022-0766は積極的に悪用されていますか？

現時点では、CVE-2022-0766を悪用した具体的な事例は確認されていませんが、SSRF脆弱性は一般的に悪用される可能性が高いため、注意が必要です。

CVE-2022-0766のcalibreweb公式アドバイザリはどこで入手できますか？

calibrewebの公式アドバイザリは、GitHubのセキュリティアドバイザリページで確認できます: https://github.com/advisories/GHSA-4w8p-x6g8-fv64