calibre には、任意のファイル書き込みと潜在的なコード実行につながるパス・トラバーサル脆弱性があります

このパストラバーサル脆弱性は、攻撃者にとって非常に危険な状況を生み出します。攻撃者は、Calibreがアクセスできる任意の場所にファイルを書き込むことができ、特にWindows環境においては、Startupフォルダに悪意のあるファイルを配置することで、ユーザーが次回ログインする際にそのファイルが実行される可能性があります。これにより、攻撃者はシステムを完全に制御し、機密情報を盗み出したり、マルウェアをインストールしたりすることが可能になります。この脆弱性は、類似のファイル操作脆弱性と共通の攻撃パターンを持ち、システムへの侵入経路として悪用されるリスクがあります。

Users of Calibre e-book manager, particularly those on Windows systems, are at risk. Shared hosting environments where Calibre is installed and accessible to multiple users are especially vulnerable, as an attacker could potentially compromise the entire host.

• windows / supply-chain:

Get-ScheduledTask | Where-Object {$_.Action.Path -like "*Calibre*"}

• windows / supply-chain:

Get-ChildItem -Path "$env:AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" -Filter "*Calibre*.*"

• other: Monitor Calibre installation directory for unexpected file creations, especially executable files.

1. 2026-02-06Disclosure

   disclosure

1. 予約済み2026-02-04
2. 公開日2026-02-06
3. 更新日2026-02-11
4. EPSS 更新日2026-03-23

この脆弱性への対応として、まずCalibreをバージョン9.2.0以降にアップデートすることを強く推奨します。アップデートが直ちに実行できない場合は、Calibreがアクセスできるディレクトリのアクセス権を制限することで、攻撃の影響範囲を軽減できます。また、WAFやプロキシサーバーを使用して、不審なファイルアクセスを監視し、ブロックすることも有効です。Windows環境では、Startupフォルダの監視を強化し、不正なファイルの存在を早期に検知できるようにする必要があります。アップデート後、Calibreの動作を確認し、問題がないことを確認してください。