CRITICALCVE-2022-0990CVSS 9.3

janeczku/calibre-webにおけるサーバーサイドリクエストフォージェリ (SSRF)

プラットフォーム

python

コンポーネント

calibre-web

修正版

0.6.18

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2022-0990は、GitHubリポジトリjaneczku/calibre-webのバージョン0.6.18以前に存在するサーバーサイドリクエストフォージェリ（SSRF）脆弱性です。この脆弱性を悪用されると、攻撃者は内部ネットワークリソースへの不正なアクセスを試み、機密情報を窃取したり、システムを制御したりする可能性があります。影響を受けるバージョンは0.6.18以前ですが、バージョン0.6.18へのアップデートによりこの脆弱性は修正されています。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者がcalibre-webサーバーを介して内部ネットワークリソースにアクセスすることを可能にします。攻撃者は、内部サービスへのリクエストを偽装し、通常は外部からアクセスできないリソースにアクセスできます。例えば、内部データベースや管理インターフェースへのアクセスを試み、機密情報を窃取したり、設定を変更したりする可能性があります。この脆弱性は、内部ネットワークのセキュリティ境界をバイパスし、攻撃者がより深くシステムに侵入する足がかりとなる可能性があります。攻撃者は、内部ネットワーク内の他の脆弱なシステムを標的にし、横展開攻撃を実行する可能性もあります。

悪用の状況

CVE-2022-0990は、2022年4月4日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、SSRF脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。この脆弱性は、CISA KEVカタログにはまだ登録されていません。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Organizations running calibre-web versions prior to 0.6.18, particularly those with sensitive internal resources accessible from the network, are at significant risk. Shared hosting environments where calibre-web is deployed alongside other applications are also vulnerable, as an attacker could potentially exploit the SSRF to gain access to other services on the same server.

検出手順翻訳中…

• python / server:

  journalctl -u calibre-web | grep -i "Server-Side Request Forgery"

• generic web:

  curl -I <calibre-web-url>/internal-resource  # Check for access to internal resources
  grep -r "http://localhost:8080" /path/to/calibre-web/source-code # Search for hardcoded internal URLs

攻撃タイムライン

2022-04-04Disclosure
disclosure
2022-04-04Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.29% (52% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントcalibre-web

ベンダーjaneczku

影響範囲修正版

unspecified – 0.6.180.6.18

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2022-03-15
公開日2022-04-04
更新日2024-08-02
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最良の対応策は、calibre-webをバージョン0.6.18にアップデートすることです。アップデートがすぐに利用できない場合、WAF（Web Application Firewall）を使用して、SSRF攻撃を検出し、ブロックすることができます。WAFのルールを調整し、不審なリクエストを監視し、内部リソースへの不正なアクセスを防止してください。また、calibre-webがアクセスできる内部リソースを制限し、最小権限の原則を適用することも有効です。ネットワークセグメンテーションを実施し、calibre-webサーバーを他の機密システムから分離することも推奨されます。

修正方法

calibre-webをバージョン0.6.18以降にアップデートしてください。このバージョンにはSSRF脆弱性の修正が含まれています。アップデートはpipパッケージマネージャーを使用するか、最新バージョンをリポジトリからダウンロードしてファイルを置き換えることで実行できます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2022-0990 — SSRF in calibre-webとは何ですか？

CVE-2022-0990は、calibre-webのバージョン0.6.18以前に存在するサーバーサイドリクエストフォージェリ（SSRF）脆弱性です。攻撃者は、この脆弱性を悪用して内部ネットワークリソースに不正にアクセスする可能性があります。

CVE-2022-0990 in calibre-webに影響を受けますか？

calibre-webのバージョンが0.6.18以前の場合、この脆弱性に影響を受けます。バージョン0.6.18にアップデートすることで、この脆弱性を修正できます。

CVE-2022-0990 in calibre-webを修正するにはどうすればよいですか？

calibre-webをバージョン0.6.18にアップデートしてください。アップデートがすぐに利用できない場合は、WAFを使用してSSRF攻撃をブロックすることを検討してください。

CVE-2022-0990は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、SSRF脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。

CVE-2022-0990に関するcalibre-webの公式アドバイザリはどこで入手できますか？

calibre-webの公式アドバイザリは、GitHubリポジトリjaneczku/calibre-webのリリースノートで確認できます。