プラットフォーム
other
コンポーネント
crafty-controller
修正版
4.8.0
CVE-2026-0963は、Crafty ControllerのFile Operations API Endpointコンポーネントに存在するパス・トラバーサル脆弱性です。この脆弱性を悪用されると、リモート認証済み攻撃者はファイルシステムへの不正アクセスや改ざん、さらにはリモートコード実行を実行する可能性があります。影響を受けるバージョンはCrafty Controller 4.7.0から4.8.0です。バージョン4.8.0へのアップデートで脆弱性が修正されています。
この脆弱性は、攻撃者が認証された状態でCrafty ControllerのFile Operations API Endpointに不正なリクエストを送信することで、ファイルシステム上の任意の場所にアクセスし、ファイルを読み書き、実行できる可能性があります。攻撃者は、機密情報を盗み出したり、システムを完全に制御したりする可能性があります。特に、ファイル操作権限を持つユーザーアカウントが侵害された場合、その影響は甚大になる可能性があります。この脆弱性は、類似のパス・トラバーサル脆弱性と同様に、システムへの完全なアクセス権を奪取する可能性があります。
CVE-2026-0963は、2026年1月30日に公開されました。現時点では、この脆弱性を悪用する公開されているPoC(Proof of Concept)は確認されていませんが、パス・トラバーサル脆弱性であるため、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。攻撃者によるスキャンや悪用試行に備え、適切な対策を講じる必要があります。
Organizations using Crafty Controller in environments where the File Operations API Endpoint is exposed to authenticated users are at risk. This includes deployments with custom integrations or applications that rely on this API. Legacy configurations with weak access controls are particularly vulnerable.
disclosure
エクスプロイト状況
EPSS
0.13% (32% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずCrafty Controllerをバージョン4.8.0にアップデートすることを推奨します。アップデートが直ちに困難な場合は、ファイル操作APIへのアクセスを制限するWAF(Web Application Firewall)ルールやプロキシ設定を実装し、不正なパス・トラバーサル攻撃をブロックしてください。また、ファイル操作APIの入力検証を強化し、不正な文字やパスの指定を拒否するなどの対策も有効です。アップデート後、ファイル操作APIへのアクセスログを監視し、不正なアクセスがないか確認してください。
Crafty Controller をバージョン 4.8.0 以降にアップデートしてください。このバージョンにはパス トラバーサル脆弱性の修正が含まれています。アップデートすることで、ファイルの改ざんやリモートコード実行のリスクを軽減できます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-0963は、Crafty ControllerのFile Operations API Endpointコンポーネントにおけるパス・トラバーサル脆弱性であり、攻撃者がファイルシステムに不正にアクセスする可能性があります。
Crafty Controllerのバージョンが4.7.0から4.8.0の場合、この脆弱性の影響を受けます。バージョン4.8.0にアップデートしてください。
Crafty Controllerをバージョン4.8.0にアップデートすることで脆弱性が修正されます。アップデートが困難な場合は、WAFルールや入力検証の強化などの対策を講じてください。
現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性であるため、悪用される可能性は否定できません。
Crafty Controllerの公式アドバイザリは、ベンダーのセキュリティ情報ページで確認してください。