CRITICALCVE-2022-0767CVSS 9.9

calibrewebにおけるサーバーサイドリクエストフォージェリ

プラットフォーム

python

コンポーネント

calibreweb

修正版

0.6.17

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2022-0767は、calibrewebのバージョン0.6.16以前に存在するサーバーサイドリクエストフォージェリ（SSRF）の脆弱性です。攻撃者はHTTPリダイレクトを悪用し、内部リソースへのアクセスを試みることが可能です。この脆弱性は、calibrewebのバージョン0.6.16以前に影響を与え、0.6.17で修正されました。迅速なアップデートを推奨します。

影響と攻撃シナリオ

このSSRF脆弱性を悪用されると、攻撃者はcalibrewebサーバーから任意の内部リソースにアクセスできる可能性があります。例えば、内部ネットワーク上のデータベースや管理インターフェースにアクセスし、機密情報を窃取したり、システムを制御したりする可能性があります。HTTPリダイレクトを介してlocalhostへのリクエストを誘導することで、通常アクセスできない内部サービスにアクセスできるため、攻撃の範囲は広がる可能性があります。この脆弱性は、機密情報の漏洩、システムの改ざん、さらには完全なシステム制御につながる可能性があります。

悪用の状況

CVE-2022-0767は、2022年3月8日に公開されました。現時点では、公的に利用可能なPoC（Proof of Concept）は確認されていませんが、SSRF脆弱性は一般的に悪用が容易であるため、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

Organizations running calibreweb versions prior to 0.6.17, particularly those with internal services accessible from localhost, are at risk. Shared hosting environments where calibreweb is installed alongside other applications are also vulnerable, as a compromise of one application could potentially lead to SSRF exploitation through calibreweb.

検出手順翻訳中…

• python / server:

# Check calibreweb version
python -c 'import calibreweb; print(calibreweb.__version__)'

• generic web:

# Check for redirect URLs in access logs
grep -i 'redirect=' /var/log/apache2/access.log

攻撃タイムライン

2022-03-08Disclosure
disclosure
2022-03-08Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.20% (42% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントcalibreweb

ベンダーosv

影響範囲修正版

unspecified – 0.6.170.6.17

—0.6.17

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2022-02-26
公開日2022-03-08
更新日2025-02-18
EPSS 更新日2026-04-02

公開後-1日でパッチ適用

緩和策と回避策

この脆弱性への対応として、まずcalibrewebをバージョン0.6.17にアップデートすることを強く推奨します。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御するルールを設定してください。また、calibrewebがアクセスできる内部リソースを制限し、不要なネットワーク接続を遮断することで、攻撃の影響範囲を限定できます。HTTPリダイレクトの検証を強化し、信頼できないリダイレクト先へのアクセスをブロックすることも有効です。アップデート後、calibrewebのログを確認し、異常なリクエストがないか確認してください。

修正方法

calibre-webをバージョン0.6.17以降にアップデートしてください。このバージョンにはSSRF脆弱性に対する修正が含まれています。アップデートは、pipパッケージマネージャーを介するか、GitHubリポジトリから最新バージョンをダウンロードしてファイルを置き換えることで実行できます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2022-0767 — SSRF in calibrewebとは何ですか？

CVE-2022-0767は、calibrewebのバージョン0.6.16以前に存在するサーバーサイドリクエストフォージェリ（SSRF）の脆弱性です。攻撃者はHTTPリダイレクトを悪用し、内部リソースにアクセスできる可能性があります。

CVE-2022-0767 in calibrewebに影響を受けますか？

calibrewebのバージョンが0.6.16以前の場合は、影響を受けます。速やかにバージョン0.6.17にアップデートしてください。

CVE-2022-0767 in calibrewebを修正するにはどうすればよいですか？

calibrewebをバージョン0.6.17にアップデートしてください。アップデートが困難な場合は、WAFを導入し、SSRF攻撃を防御するルールを設定してください。

CVE-2022-0767は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、SSRF脆弱性は悪用が容易であるため、攻撃者による悪用が懸念されます。

CVE-2022-0767のcalibreweb公式アドバイザリはどこで入手できますか？

calibrewebの公式アドバイザリは、プロジェクトのウェブサイトまたはGitHubリポジトリで確認できます。