プラットフォーム
nodejs
コンポーネント
docmost
修正版
0.24.1
CVE-2026-22249は、オープンソースのコラボレーションウィキおよびドキュメントソフトウェアであるDocmostにおける任意ファイル書き込み脆弱性です。この脆弱性は、Zipインポート機能のファイル名検証の不備に起因し、攻撃者がシステム上の任意のファイルを書き込むことを可能にします。影響を受けるバージョンは0.21.0から0.23.9までであり、バージョン0.24.0でこの問題は修正されています。
この脆弱性を悪用されると、攻撃者はDocmostサーバー上の任意の場所にファイルを書き込むことが可能になります。これにより、機密情報の窃取、システムの改ざん、さらにはリモートコード実行につながる可能性があります。攻撃者は、悪意のあるスクリプトや設定ファイルを書き込み、Docmostの機能を乗っ取ったり、他のシステムへの攻撃の足がかりとして利用したりする可能性があります。この脆弱性は、ファイルシステムへのアクセス権を持つ攻撃者にとって、非常に危険な脅威となります。
この脆弱性は、2026年1月15日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は高いと考えられます。CISA KEVへの登録状況は不明です。攻撃者は、この脆弱性を利用して、Docmostサーバーを侵害し、機密情報を窃取する可能性があります。
Organizations using Docmost for internal documentation or collaboration, particularly those running vulnerable versions (0.21.0 - 0.23.9) on publicly accessible servers, are at significant risk. Shared hosting environments where multiple users have access to Docmost installations are also particularly vulnerable.
• nodejs: Monitor process execution for suspicious file creation or modification within the Docmost installation directory. Use ps aux | grep docmost to identify running processes and find /path/to/docmost -type f -mmin -60 to check for recently modified files.
• generic web: Examine access logs for POST requests to the Zip Import endpoint with unusual file extensions or filenames. Use grep -i "zip import" /var/log/apache2/access.log to identify relevant requests.
• generic web: Check response headers for errors related to file uploads or unexpected file content. Use curl -I <docmosturl>/zipimport to inspect headers.
disclosure
エクスプロイト状況
EPSS
0.03% (8% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最善の対応は、Docmostをバージョン0.24.0以降にアップデートすることです。アップデートがすぐに利用できない場合、一時的な緩和策として、Zipインポート機能を無効化することを検討してください。また、WAF(Web Application Firewall)を導入し、不審なファイルアップロードリクエストをブロックすることも有効です。ファイル名検証を厳格化するカスタムルールを作成し、許可されていない文字やパターンを含むファイルを拒否するように設定してください。
Actualice Docmost a la versión 0.24.0 o superior. Esta versión corrige la vulnerabilidad de escritura arbitraria de archivos (ZipSlip) al validar correctamente los nombres de archivo durante la importación de archivos ZIP. La actualización previene la posible ejecución de código malicioso mediante la manipulación de archivos.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-22249は、DocmostのZipインポート機能におけるファイル名検証の不備により、攻撃者が任意のファイルを書き込める脆弱性です。
Docmostのバージョンが0.21.0から0.23.9の場合、この脆弱性の影響を受けます。バージョン0.24.0以降にアップデートしてください。
Docmostをバージョン0.24.0以降にアップデートしてください。アップデートが困難な場合は、Zipインポート機能を無効化することを検討してください。
現時点では公開PoCは確認されていませんが、脆弱性の性質上、悪用される可能性は高いと考えられます。
Docmostの公式アドバイザリは、[Docmostのウェブサイト](https://docmost.org/)で確認できます。