HIGHCVE-2026-28518CVSS 7.8

OpenViking .ovpackインポートにおけるZIPパス・トラバーサル

プラットフォーム

other

コンポーネント

openviking

修正版

0.2.2

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-28518は、OpenVikingのバージョン0.2.1以前に発見されたパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はインポートプロセスが持つ権限で、ファイルシステム上の任意の場所にファイルを書き込むことが可能になります。影響を受けるバージョンは0.2.1以前ですが、コミット46b3e76で修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がOpenVikingの.ovpackインポート機能を利用して、ファイルシステム上の任意の場所にファイルを書き込めることを意味します。攻撃者は、悪意のあるZIPアーカイブを作成し、ファイル名にパス・トラバーサルシーケンス（例：../..）や絶対パスを含めることで、意図しないディレクトリにファイルを書き込むことができます。これにより、重要な設定ファイルを上書きしたり、悪意のあるコードを実行したりする可能性があります。この脆弱性の影響範囲は広範囲に及び、システム全体のセキュリティを脅かす可能性があります。

悪用の状況

この脆弱性は、2026年3月3日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性であるため、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。この脆弱性は、ファイルシステムへの不正アクセスを許容するものであり、深刻なセキュリティインシデントにつながる可能性があります。

リスク対象者翻訳中…

Organizations and individuals utilizing OpenViking for package management or deployment are at risk. This includes environments where .ovpack files are imported from untrusted sources or where the OpenViking process runs with elevated privileges. Shared hosting environments where multiple users share the same OpenViking instance are particularly vulnerable.

攻撃タイムライン

2026-03-03Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

レポート1 脅威レポート

EPSS

0.01% (0% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントopenviking

ベンダーVolcengine

影響範囲修正版

0 – 0.2.10.2.2

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-02-27
公開日2026-03-03
更新日2026-03-31
EPSS 更新日2026-03-23

緩和策と回避策

OpenVikingのバージョンを46b3e76e28b9b3eee73693720c9ec48820228b72以上にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、.ovpackファイルのインポートを一時的に無効化するか、インポートされるファイルのパスを厳密に検証する仕組みを導入することを検討してください。また、WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃を検知・防御することも有効です。アップデート後、インポート機能が正常に動作することを確認してください。

修正方法翻訳中…

Actualice OpenViking a la versión posterior al commit 46b3e76e28b9b3eee73693720c9ec48820228b72. Esto corrige la vulnerabilidad de path traversal al importar archivos .ovpack. Asegúrese de obtener la actualización desde la fuente oficial de Volcengine.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-28518 — パス・トラバーサルはOpenVikingで何ですか？

CVE-2026-28518は、OpenVikingのバージョン0.2.1以前の.ovpackインポート処理におけるパス・トラバーサル脆弱性です。攻撃者はこれを利用して、ファイルシステム上の任意の場所にファイルを書き込む可能性があります。

CVE-2026-28518はOpenVikingで影響を受けますか？

OpenVikingのバージョンが0.2.1以前の場合は、影響を受けます。バージョン46b3e76e28b9b3eee73693720c9ec48820228b72以降にアップデートすることで、この脆弱性は修正されます。

CVE-2026-28518はOpenVikingでどのように修正しますか？

OpenVikingのバージョンを46b3e76e28b9b3eee73693720c9ec48820228b72以上にアップデートしてください。アップデートが困難な場合は、インポート機能を一時的に無効化するか、パス検証を強化してください。

CVE-2026-28518は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性であるため、悪用される可能性は否定できません。

CVE-2026-28518のOpenViking公式アドバイザリはどこで入手できますか？

OpenVikingの公式アドバイザリは、OpenVikingのウェブサイトまたはGitHubリポジトリで確認できます。