CVE-2026-22238は、BLUVOYIXの管理APIにおける不正認証の脆弱性です。攻撃者は、認証なしで特別に細工されたHTTPリクエストを送信することで、管理者権限を持つ新規ユーザーを作成し、顧客データへのアクセスを可能にする可能性があります。この脆弱性は、BLUVOYIXのバージョン0–0に影響を与え、バージョン0.0.1で修正されました。
この脆弱性を悪用すると、攻撃者はBLUVOYIXの管理APIに認証なしでアクセスし、管理者権限を持つ新規ユーザーを作成できます。これにより、攻撃者は顧客データへの完全なアクセス権を取得し、プラットフォームを完全に侵害する可能性があります。攻撃者は、作成された管理者ユーザーとしてログインし、機密情報を盗んだり、システム設定を変更したり、悪意のあるコードを実行したりする可能性があります。この脆弱性の影響範囲は広大であり、顧客データの漏洩やシステムの完全な制御喪失につながる可能性があります。
この脆弱性は、2026年1月14日に公開されました。現時点では、公開されているPoCは確認されていませんが、不正認証の脆弱性は悪用される可能性が高いため、注意が必要です。CISA KEVカタログへの登録状況は不明です。
Organizations utilizing BLUVOYIX, particularly those with exposed admin APIs or lacking robust network segmentation, are at significant risk. Shared hosting environments where multiple customers share the same BLUVOYIX instance are especially vulnerable, as a compromise of one customer's environment could impact others.
disclosure
エクスプロイト状況
EPSS
0.24% (47% パーセンタイル)
CISA SSVC
BLUVOYIXのバージョンを0.0.1にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートが利用できない場合は、管理APIへのアクセスを制限し、認証メカニズムを強化することを検討してください。WAF(Web Application Firewall)を使用して、不正なHTTPリクエストをブロックすることも有効です。また、APIのアクセスログを監視し、異常なアクティビティを検出することも重要です。アップデート後、APIのアクセスログを確認し、不正なユーザーアカウントの作成がないか確認してください。
BLUVOYIXを、この管理者アカウント作成の脆弱性を修正したパッチバージョンにアップデートしてください。アップデート版を入手するために、ベンダーであるBluspark Globalに連絡してください。管理APIに堅牢なアクセス制御と認証を実装してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-22238は、BLUVOYIXの管理APIにおける不正認証の脆弱性です。攻撃者は、認証なしで管理者権限を持つ新規ユーザーを作成し、顧客データへのアクセスを可能にする可能性があります。
BLUVOYIXのバージョン0–0が影響を受けます。BLUVOYIXを導入している場合は、バージョン0.0.1にアップデートするか、適切な対策を講じる必要があります。
BLUVOYIXのバージョンを0.0.1にアップデートすることが推奨されます。アップデートが利用できない場合は、管理APIへのアクセスを制限し、認証メカニズムを強化してください。
現時点では、公開されているPoCは確認されていませんが、不正認証の脆弱性は悪用される可能性が高いため、注意が必要です。
BLUVOYIXの公式アドバイザリは、BLUVOYIXのウェブサイトまたはセキュリティ情報ページで確認できます。