HIGHCVE-2026-27818CVSS 7.5

TerriaJS-Server は、プロキシ許可リストにドメイン検証のバイパス脆弱性があります

Q: CVE-2026-27818 — プロキシバイパス脆弱性は、terriajs-serverで何ですか？

CVE-2026-27818は、terriajs-serverのドメイン検証不備により、許可されていないドメインをプロキシできる脆弱性です。これにより、プロキシ制限を回避される可能性があります。

Q: CVE-2026-27818は、terriajs-serverで影響を受けますか？

はい、バージョン4.0.2以前のterriajs-serverがこの脆弱性に影響を受けます。

Q: CVE-2026-27818は、terriajs-serverでどのように修正しますか？

terriajs-serverをバージョン4.0.3にアップグレードすることで、この脆弱性を修正できます。

Q: CVE-2026-27818は、積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、悪用される可能性はあります。

Q: CVE-2026-27818に関する公式のterriajs-serverのアドバイザリはどこで入手できますか？

公式のアドバイザリは、terriajs-serverのリリースノートまたはセキュリティアナウンスメントで確認してください。

プラットフォーム

nodejs

コンポーネント

terriajs-server

修正版

4.0.4

4.0.3

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-27818は、terriajs-serverにおけるドメイン検証の脆弱性です。この脆弱性により、攻撃者はproxyableDomains設定で明示的に許可されていないドメインをプロキシできるようになり、プロキシ制限を回避する可能性があります。影響を受けるバージョンは4.0.2以前であり、4.0.3へのアップグレードでこの問題は修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がproxyableDomains設定で許可されているドメインを悪用し、許可されていないドメインをプロキシできることを意味します。例えば、example.comが許可されている場合、maliciousexample.comもプロキシ可能になります。これにより、攻撃者は悪意のあるドメインを通じてコンテンツをプロキシし、機密情報を盗んだり、悪意のあるスクリプトを実行したりする可能性があります。この脆弱性は、特にプロキシ制限を厳密に適用する必要がある環境において、重大なセキュリティリスクをもたらします。

悪用の状況

この脆弱性は、2026年2月26日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性はあります。CISA KEVへの登録状況は不明です。この脆弱性は、プロキシ設定の不備から生じるため、類似の脆弱性（例えば、不適切な入力検証によるプロキシチェーンの悪用）と同様の攻撃パターンが適用される可能性があります。

リスク対象者翻訳中…

Organizations using terrajs-server for proxying web traffic, particularly those with sensitive data or critical services, are at risk. Shared hosting environments where multiple users share a terrajs-server instance are also particularly vulnerable, as a compromise of one user's account could potentially affect others.

検出手順翻訳中…

• nodejs / server:

  ps aux | grep terrajs-server

• nodejs / server:

  find / -name "proxyableDomains" -type f

• generic web: Check terrajs-server logs for requests to unexpected or unauthorized domains. Look for patterns indicating proxy bypass attempts. • generic web: Review terrajs-server configuration files for overly permissive proxyableDomains settings.

攻撃タイムライン

2026-02-26Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート2 件の脅威レポート

EPSS

0.10% (26% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントterriajs-server

ベンダーosv

影響範囲修正版

< 4.0.3 – < 4.0.34.0.4

—4.0.3

弱点分類 (CWE)

CWE-20 CWE-918

タイムライン

予約済み2026-02-24
公開日2026-02-26
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最善の対応は、terriajs-serverをバージョン4.0.3にアップグレードすることです。アップグレードがシステムに影響を与える場合は、一時的な回避策として、proxyableDomains設定をより厳密に制限し、許可されていないドメインからのプロキシを完全にブロックすることを検討してください。また、WAF（Web Application Firewall）やリバースプロキシを使用して、悪意のあるドメインからのトラフィックをフィルタリングすることも有効です。アップグレード後、設定が正しく適用されていることを確認し、プロキシ制限が期待通りに機能していることを検証してください。

修正方法

TerriaJS-Server をバージョン 4.0.3 以降にアップデートしてください。このバージョンは、プロキシ許可リストにおけるドメイン検証のバイパス脆弱性を修正します。アップデートは npm パッケージマネージャーを通じて実行できます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-27818 — プロキシバイパス脆弱性は、terriajs-serverで何ですか？