HIGHCVE-2026-22860CVSS 7.5

Rack には Rack:Directory 経由のディレクトリトラバーサル脆弱性があります

Q: CVE-2026-22860 — ディレクトリトラバーサル脆弱性はRackとは何ですか？

CVE-2026-22860は、RubyのRackライブラリにおけるディレクトリトラバーサル脆弱性であり、攻撃者が設定されたルートディレクトリ外のファイルシステムにアクセスする可能性があります。

Q: CVE-2026-22860 in Rackで影響を受けますか？

Rackのバージョンが2.2.9以前の場合は影響を受けます。バージョン2.2.22にアップデートすることで脆弱性を修正できます。

Q: CVE-2026-22860 in Rackを修正するにはどうすればよいですか？

Rackをバージョン2.2.22にアップデートすることが推奨されます。アップデートが困難な場合は、WAFを使用して攻撃を防御してください。

Q: CVE-2026-22860に関するRackの公式アドバイザリはどこで入手できますか？

Rackの公式アドバイザリは、https://rack.rubyforge.org/ を参照してください。

プラットフォーム

ruby

コンポーネント

rack

修正版

2.2.23

3.0.1

3.2.1

2.2.22

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-22860は、RubyのRackライブラリにおけるディレクトリトラバーサル脆弱性です。この脆弱性は、Rack::Directoryのパスチェックが不適切であるために発生し、攻撃者が設定されたルートディレクトリ外のファイルシステムにアクセスする可能性があります。影響を受けるバージョンは2.2.9以前であり、バージョン2.2.22へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はRackアプリケーションが提供するディレクトリ構造を自由に閲覧できるようになります。特に、ルートディレクトリのプレフィックスを共有するパスが指定された場合、意図しないディレクトリへのアクセスが可能となり、機密情報漏洩のリスクが高まります。例えば、サーバーのルートが/var/www/rootの場合、/var/www/rootbackupのようなパスが有効となり、/rootbackupディレクトリの内容が公開される可能性があります。この脆弱性は、Webアプリケーションの機密情報や設定ファイルへの不正アクセスを容易にする可能性があります。

悪用の状況

この脆弱性は、2026年2月17日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。この脆弱性は、Rackを使用しているWebアプリケーションを運用している組織にとって、潜在的な脅威となります。

リスク対象者翻訳中…

Applications built using the Ruby Rack framework, particularly those that expose directory listing functionality or handle user-supplied paths without proper validation, are at risk. Shared hosting environments where multiple applications share the same Rack installation are also particularly vulnerable, as a compromise of one application could potentially expose the entire environment.

検出手順翻訳中…

• ruby / gem: Use gem list to identify Rack versions. Look for versions less than or equal to 2.2.9.

gem list rack

• linux / server: Examine web server access logs for requests containing suspicious path traversal sequences (e.g., ../).

grep '../' /var/log/apache2/access.log

• generic web: Test Rack-based applications with path traversal payloads (e.g., /../etc/passwd) to identify potential vulnerabilities. Use curl to send requests and inspect the response.

curl http://your-rack-app/../etc/passwd

攻撃タイムライン

2026-02-17Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

NextGuard100% まだ脆弱

EPSS

0.07% (22% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

影響を受けるソフトウェア

コンポーネントrack

ベンダーosv

影響範囲修正版

< 2.2.22 – < 2.2.222.2.23

>= 3.0.0.beta1, < 3.1.20 – >= 3.0.0.beta1, < 3.1.203.0.1

>= 3.2.0, < 3.2.5 – >= 3.2.0, < 3.2.53.2.1

—2.2.22

弱点分類 (CWE)

CWE-22 CWE-548

タイムライン

予約済み2026-01-12
公開日2026-02-17
更新日2026-02-24
EPSS 更新日2026-03-23

公開後-1日でパッチ適用

緩和策と回避策

Rack 2.2.22へのアップデートが推奨される修正策です。アップデートが困難な場合は、WAF（Web Application Firewall）を使用して、ディレクトリトラバーサル攻撃を検知・防御するルールを実装することを検討してください。また、Rackアプリケーションのアクセス制御を強化し、不要なディレクトリへのアクセスを制限することも有効です。ファイルシステムの権限設定を見直し、Webアプリケーションがアクセスできるディレクトリを最小限に抑えることが重要です。アップデート後、Rackアプリケーションの動作を確認し、意図しないファイルへのアクセスがないことを確認してください。

修正方法翻訳中…

Actualice la gema Rack a la versión 2.2.22 o superior, 3.1.20 o superior, o 3.2.5 o superior. Esto solucionará la vulnerabilidad de recorrido de directorio. Ejecute `gem update rack` para actualizar a la última versión segura.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-22860 — ディレクトリトラバーサル脆弱性はRackとは何ですか？