HIGHCVE-2026-21878CVSS 7.5

BACnet Stack はパス名を制限されたディレクトリに不適切に制限する

Q: CVE-2026-21878 — ファイル書き込み脆弱性 in BACnet Stackとは何ですか？

CVE-2026-21878は、BACnet Stackのファイル書き込み機能における脆弱性で、攻撃者が任意のディレクトリにファイルを書き込める可能性があります。

Q: CVE-2026-21878 in BACnet Stackに影響を受けますか？

BACnet Stackのバージョンが1.5.0.rc3以前を使用している場合は、影響を受けます。

Q: CVE-2026-21878 in BACnet Stackを修正するにはどうすればよいですか？

BACnet Stackのバージョンを1.5.0.rc3以降にアップデートしてください。

Q: CVE-2026-21878は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、将来的に悪用される可能性があります。

Q: CVE-2026-21878のBACnet Stack公式アドバイザリはどこで入手できますか？

BACnet Stackの公式ウェブサイトまたは関連するセキュリティコミュニティで最新情報を確認してください。

プラットフォーム

コンポーネント

bacnet-stack

修正版

1.5.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

BACnet Stackは、組み込みシステム向けのBACnetオープンソースプロトコルスタックCライブラリです。この脆弱性は、ユーザーが提供するファイルパスの検証が不十分なファイル書き込み機能に存在し、攻撃者が任意のディレクトリにファイルを書き込める可能性があります。影響を受けるバージョンは1.5.0.rc3以前ですが、1.5.0.rc3でこの問題は修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はBACnet Stackを組み込んだデバイス上で、システムファイルや設定ファイルを改ざんしたり、悪意のあるコードを実行したりする可能性があります。これにより、デバイスの機能が停止したり、機密情報が漏洩したり、ネットワーク全体への攻撃の足掛かりとなる可能性があります。特に、BACnetプロトコルを使用する産業制御システム（ICS）やビルディングオートメーションシステム（BAS）において、重大な影響を引き起こす可能性があります。

悪用の状況

この脆弱性は、2026年2月13日に公開されました。現時点では、公開されているPoCは確認されていませんが、ファイル書き込みの脆弱性は悪用が容易であるため、将来的に悪用される可能性があります。CISA KEVへの登録状況は不明です。BACnetプロトコルは、産業制御システムで広く使用されているため、この脆弱性が悪用されると、広範囲に影響が及ぶ可能性があります。

リスク対象者翻訳中…

Systems utilizing BACnet Stack in embedded devices, particularly those with limited security controls or exposed file systems, are at risk. This includes industrial control systems (ICS), building automation systems, and other IoT deployments relying on BACnet communication. Legacy systems running older versions of BACnet Stack are particularly vulnerable.

検出手順翻訳中…

• linux / server:

find / -type f -name '*bacnet*' -mtime -7 -ls

• linux / server:

journalctl -f | grep -i "bacnet"

• generic web:

curl -I http://your-bacnet-system/ | grep -i "Content-Type"

攻撃タイムライン

2026-02-13Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.06% (17% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントbacnet-stack

ベンダーbacnet-stack

影響範囲修正版

< 1.5.0.rc3 – < 1.5.0.rc31.5.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-01-05
公開日2026-02-13
EPSS 更新日2026-03-23

緩和策と回避策

BACnet Stackのバージョンを1.5.0.rc3以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、ファイル書き込み操作に対するアクセス制御を強化し、許可されたユーザーのみが特定のディレクトリへの書き込みを許可するように設定してください。また、WAF（Web Application Firewall）やIPS（Intrusion Prevention System）を導入し、不正なファイル書き込みリクエストを検知・遮断することも有効です。ファイル書き込み操作のログを監視し、異常なアクティビティを早期に発見することも重要です。アップデート後、ファイル書き込み機能が正常に動作することを確認してください。

修正方法翻訳中…

Actualice la biblioteca BACnet Stack a la versión 1.5.0.rc3 o superior. Esta versión corrige la vulnerabilidad de recorrido de directorios que permite la escritura de archivos en ubicaciones arbitrarias. La actualización evitará que atacantes exploten esta vulnerabilidad.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-21878 — ファイル書き込み脆弱性 in BACnet Stackとは何ですか？