HIGHCVE-2026-24469CVSS 7.5

C++ HTTP Server には、RequestHandler における Critical Path Traversal の脆弱性が存在し、任意のファイル読み込みを可能にする

Q: CVE-2026-24469 — パス・トラバーサルはC++ HTTP Serverで何ですか？

CVE-2026-24469は、C++ HTTP ServerのRequestHandler::handleRequestメソッドにおけるパス・トラバーサル脆弱性です。攻撃者は、この脆弱性を悪用して、サーバーのファイルシステムから任意のファイルを読み取ることができます。

Q: CVE-2026-24469でC++ HTTP Serverを使用していますか？

C++ HTTP Serverのバージョンが1.0以下の場合、この脆弱性の影響を受ける可能性があります。バージョン1.0.1にアップデートすることで修正されます。

Q: CVE-2026-24469でC++ HTTP Serverを修正するにはどうすればよいですか？

C++ HTTP Serverをバージョン1.0.1にアップデートしてください。アップデートが利用できない場合は、ファイルシステムへのアクセスを制限するファイアウォールルールやプロキシの設定を検討してください。

Q: CVE-2026-24469は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であり、今後悪用される可能性があります。

Q: CVE-2026-24469のC++ HTTP Server公式アドバイザリはどこで入手できますか？

C++ HTTP Serverの公式アドバイザリは、ベンダーのウェブサイトで確認してください。

プラットフォーム

other

コンポーネント

http-server

修正版

1.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

C++ HTTP Serverは、クライアント接続を処理し、HTTPリクエストに応答するHTTP/1.1サーバーです。バージョン1.0以前には、RequestHandler::handleRequestメソッドを介したパス・トラバーサル脆弱性が存在します。この脆弱性は、認証されていないリモート攻撃者が、悪意のあるHTTP GETリクエストを送信することで、サーバーのファイルシステムから任意のファイルを読み取れる可能性があります。バージョン1.0.1へのアップデートでこの問題は修正されています。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性は、攻撃者がサーバーのファイルシステムを自由に探索することを可能にします。攻撃者は、../のようなシーケンスを含む悪意のあるHTTP GETリクエストを送信することで、本来アクセスできないはずの機密情報（設定ファイル、ソースコード、ログファイルなど）にアクセスできる可能性があります。攻撃者は、この脆弱性を悪用して、サーバーの機密情報を窃取したり、システムを制御したりする可能性があります。特に、ファイルシステムへのアクセス権限が適切に制限されていない環境では、深刻な被害が発生する可能性があります。

悪用の状況

このCVEは2026年1月24日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であり、今後PoCが公開される可能性があります。CISA KEVリストへの登録状況は不明です。攻撃者は、この脆弱性を悪用して、機密情報を窃取したり、システムを制御したりする可能性があります。

リスク対象者翻訳中…

Systems running C++ HTTP Server versions 1.0 and earlier are at risk. This includes development environments, testing servers, and production deployments where this server is used. Shared hosting environments where users have the ability to craft HTTP requests are particularly vulnerable.

検出手順翻訳中…

• linux / server:

journalctl -u cpp-http-server -g "Path Traversal"

• generic web:

curl -I http://<server_ip>/../../../../etc/passwd

• generic web:

grep -r "RequestHandler::handleRequest" /path/to/cpp-http-server/source_code

攻撃タイムライン

2026-01-24Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.03% (10% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントhttp-server

ベンダーfrustratedProton

影響範囲修正版

<= 1.0 – <= 1.01.0.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-01-23
公開日2026-01-24
更新日2026-01-26
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最も効果的な対策は、C++ HTTP Serverをバージョン1.0.1にアップデートすることです。アップデートが利用できない場合は、ファイルシステムへのアクセスを制限するファイアウォールルールやプロキシの設定を検討してください。また、入力値の検証を強化し、../のようなシーケンスを適切にサニタイズすることで、攻撃を軽減できる可能性があります。WAF（Web Application Firewall）の導入も有効な対策となります。

修正方法翻訳中…

No hay parche disponible. Se recomienda no utilizar la versión vulnerable del servidor HTTP C++ o implementar una solución de mitigación que valide y sanee las rutas de los archivos solicitados para evitar el recorrido de directorios. Considere utilizar un servidor HTTP más robusto y mantenido.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-24469 — パス・トラバーサルはC++ HTTP Serverで何ですか？