CRITICALCVE-2026-28508CVSS 9.5

Idnoにおいて、URL Unfurlエンドポイント経由で認証されていないSSRFの脆弱性

Q: CVE-2026-28508 — SSRF in idno/knownとは何ですか？

CVE-2026-28508は、idno/knownのURL展開サービスにおけるSSRF脆弱性です。攻撃者は認証なしで任意のHTTPリクエストを送信し、内部ネットワークの情報にアクセスできる可能性があります。

Q: CVE-2026-28508 in idno/knownの影響はありますか？

はい、idno/knownのバージョン1.6.3以前が影響を受けます。内部ネットワークへの不正アクセスや機密情報の漏洩につながる可能性があります。

Q: CVE-2026-28508 in idno/knownを修正するにはどうすればよいですか？

idno/knownをバージョン1.6.4にアップデートしてください。アップデートが困難な場合は、WAFやファイアウォールルールでアクセスを制限することを検討してください。

Q: CVE-2026-28508は積極的に悪用されていますか？

現時点では、具体的な攻撃事例は報告されていませんが、SSRF脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。

Q: CVE-2026-28508に関するidno/knownの公式アドバイザリはどこで入手できますか？

idno/knownの公式アドバイザリは、プロジェクトのウェブサイトまたはGitHubリポジトリで確認してください。

プラットフォーム

php

コンポーネント

idno/known

修正版

1.6.5

1.6.4

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-28508は、idno/knownのURL展開サービスにおける深刻なSSRF（Server-Side Request Forgery）脆弱性です。この脆弱性を悪用されると、攻撃者は認証なしで任意のHTTPリクエストを送信し、内部ネットワークやクラウド環境の情報にアクセスできる可能性があります。影響を受けるバージョンは1.6.3以前であり、1.6.4へのアップデートで修正されています。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者にとって非常に危険です。認証不要なURL展開サービスエンドポイントに対し、CSRF保護が不十分であるため、誰でも容易に悪用できます。攻撃者は、この脆弱性を利用して、内部ネットワーク上の機密情報へのアクセスを試みたり、クラウドインスタンスのメタデータサービスから認証情報を盗み出したりする可能性があります。さらに、この脆弱性を悪用して、他のシステムへの攻撃の踏み台として利用することも考えられます。攻撃範囲は広範囲に及び、機密情報の漏洩、システムへの不正アクセス、さらにはネットワーク全体の制御喪失につながる可能性があります。

悪用の状況

CVE-2026-28508は、2026年3月2日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、SSRF脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。パブリックなPoC（Proof of Concept）は確認されていません。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

Organizations using idno/known for content management or publishing, particularly those with internal services accessible via HTTP, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as an attacker could potentially exploit the vulnerability on behalf of another user.

検出手順翻訳中…

• php / server:

find /var/www/html -name 'UrlUnfurl.php' -o -name 'Session.php' -o -name 'Actions.php'

• php / server:

 grep -r "UrlUnfurl" /var/www/html

• generic web:

curl -I http://your-idno-server.com/service/web/urlunfurl | grep -i server

攻撃タイムライン

2026-03-02Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.13% (33% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントidno/known

ベンダーosv

影響範囲修正版

< 1.6.4 – < 1.6.41.6.5

—1.6.4

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2026-02-27
公開日2026-03-02
更新日2026-03-06
EPSS 更新日2026-03-23

公開後-1日でパッチ適用

緩和策と回避策

この脆弱性への対応策として、まずidno/knownをバージョン1.6.4にアップデートすることを強く推奨します。アップデートが困難な場合は、URL展開サービスのエンドポイントへのアクセスを制限するWAF（Web Application Firewall）やプロキシサーバーの設定を検討してください。また、内部ネットワークへのアクセスを制限するファイアウォールルールを実装し、URL展開サービスがアクセスできる範囲を限定することも有効です。さらに、ログ監視を強化し、異常なHTTPリクエストを検知するためのシグネチャを導入することも重要です。

修正方法

idnoをバージョン1.6.4以降にアップデートしてください。このバージョンでは、URL unfurlエンドポイントに適切なCSRF保護を実装することで、SSRFの脆弱性を修正しています。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-28508 — SSRF in idno/knownとは何ですか？