プラットフォーム
go
コンポーネント
github.com/flipped-aurora/gin-vue-admin
修正版
2.8.8
2.8.8
CVE-2026-22786は、github.com/flipped-aurora/gin-vue-adminにおけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者は任意のファイルをアップロードし、サーバー上の機密情報を盗み出す可能性があります。影響を受けるバージョンは2.8.8以前です。2.8.8へのアップデートにより、この脆弱性は修正されています。
このパス・トラバーサル脆弱性は、攻撃者がファイルシステムの制限を回避し、通常アクセスできないファイルにアクセスすることを可能にします。攻撃者は、この脆弱性を悪用して、設定ファイル、ソースコード、データベースダンプなどの機密情報を盗む可能性があります。さらに、攻撃者は悪意のあるファイルをアップロードし、サーバー上でコードを実行したり、システムを制御したりする可能性があります。この脆弱性は、特に機密情報を扱うアプリケーションにおいて、重大なセキュリティリスクをもたらします。
この脆弱性は2026年1月23日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISA KEVリストへの登録状況は不明です。
Organizations using Gin-vue-admin in production environments, particularly those with sensitive data or critical applications, are at risk. Environments with weak file upload validation or inadequate access controls are especially vulnerable. Shared hosting environments where multiple users have upload capabilities also face increased risk.
• go / server:
find /var/log/gin-vue-admin -type f -name '*.log' -print0 | xargs -0 grep -i 'file upload'• generic web:
curl -I <target_url>/upload | grep 'Content-Type'disclosure
エクスプロイト状況
EPSS
0.59% (69% パーセンタイル)
CISA SSVC
この脆弱性への最も効果的な対策は、gin-vue-adminをバージョン2.8.8にアップデートすることです。アップデートがすぐに利用できない場合、一時的な緩和策として、ファイルアップロード機能に対する入力検証を強化し、アップロードされるファイルの拡張子とサイズを制限することを検討してください。また、WAF(Web Application Firewall)を導入し、パス・トラバーサル攻撃を検知・ブロックすることも有効です。ファイルシステムへのアクセス権限を最小限に抑え、不要なファイルへのアクセスを制限することも重要です。アップデート後、ファイルアップロード機能が正常に動作することを確認してください。
Actualice Gin-vue-admin a una versión posterior a la 2.8.7 que contenga la corrección para la vulnerabilidad de path traversal. Consulte el advisory de seguridad en GitHub para obtener más detalles y la versión corregida.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-22786は、gin-vue-adminにおけるパス・トラバーサル脆弱性であり、攻撃者が任意のファイルをアップロードできる可能性があります。
gin-vue-adminのバージョンが2.8.8以前の場合、影響を受けます。
gin-vue-adminをバージョン2.8.8にアップデートしてください。
現時点では、公開されているPoCは確認されていませんが、注意が必要です。
github.com/flipped-aurora/gin-vue-adminのリポジトリを参照してください。
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。