HIGHCVE-2026-28676CVSS 8.8

OpenSift: ストレージヘルパーにおけるパスの包含チェックの不備により、パストラバーサル形式のファイル操作が可能になる

Q: CVE-2026-28676 — パス・トラバーサル OpenSift とは何ですか？

CVE-2026-28676 は、OpenSift のバージョン 1.6.3-alpha 以前に存在するパス・トラバーサル脆弱性です。悪意のあるパスが挿入されると、ファイルシステム上の任意の場所にアクセスできる可能性があります。

Q: CVE-2026-28676 — OpenSift は影響を受けますか？

OpenSift のバージョンが 1.6.3-alpha 以前の場合、この脆弱性の影響を受けます。バージョン 1.6.3-alpha 以降にアップグレードすることで、脆弱性を解消できます。

Q: CVE-2026-28676 — OpenSift をどのように修正しますか？

OpenSift のバージョンを 1.6.3-alpha 以降にアップグレードしてください。アップグレードが困難な場合は、ファイアウォールルールや WAF ルールを実装し、ファイルアクセスを制限してください。

Q: CVE-2026-28676 の OpenSift の公式アドバイザリはどこで入手できますか？

OpenSift の公式アドバイザリは、OpenSift のウェブサイトまたは GitHub リポジトリで確認できます。

プラットフォーム

python

コンポーネント

opensift

修正版

1.6.4

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

OpenSift は、大規模データセットをセマンティック検索と生成AIで処理するAI学習ツールです。バージョン 1.6.3-alpha 以前の OpenSift には、複数のストレージヘルパーでパス構築パターンに不備があり、ファイル読み書き削除フローにおいて、悪意のあるパスのような値が導入されると、パス・インジェクションのリスクが生じます。この脆弱性はバージョン 1.6.3-alpha で修正されています。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性を悪用されると、攻撃者は OpenSift がアクセスできるファイルシステム上の任意の場所にアクセスし、機密情報を盗んだり、ファイルを改ざんしたり、削除したりする可能性があります。特に、OpenSift が機密データを保存している場合、データ漏洩のリスクが高まります。攻撃者は、この脆弱性を利用して、OpenSift が動作しているサーバー上でコードを実行し、システムへの完全なアクセス権を取得する可能性もあります。この脆弱性は、ファイルシステム全体へのアクセスを許可するため、影響範囲は広範に及びます。

悪用の状況

この脆弱性は、2026年3月6日に公開されました。現時点では、公開されている PoC は確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であるため、注意が必要です。CISA KEV カタログへの登録状況は不明です。NVD の情報も参照し、最新の動向を監視してください。

リスク対象者翻訳中…

Organizations utilizing OpenSift for AI data processing and analysis are at risk. Specifically, deployments where user-provided data is directly incorporated into file paths without proper sanitization are particularly vulnerable. Shared hosting environments where multiple users share the same OpenSift instance should also be considered high-risk.

検出手順翻訳中…

• python / server:

import os
import glob

# Check for unusual file paths being accessed
for filepath in glob.glob('/path/to/opensift/storage/*'): # Replace with actual storage path
    if '..' in filepath or '/' in filepath.split('/')[-1]:
        print(f"Suspicious filepath detected: {filepath}")

• generic web:

curl -I 'http://opensift.example.com/../../../../etc/passwd' # Attempt path traversal

攻撃タイムライン

2026-03-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.05% (16% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントopensift

ベンダーOpenSift

影響範囲修正版

< 1.6.3-alpha – < 1.6.3-alpha1.6.4

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-03-02
公開日2026-03-06
更新日2026-03-09
EPSS 更新日2026-03-23

緩和策と回避策

OpenSift のバージョンを 1.6.3-alpha 以降にアップグレードすることが最も効果的な対策です。アップグレードが困難な場合は、ファイルアクセスを制限するファイアウォールルールや WAF ルールを実装し、OpenSift がアクセスできるディレクトリを厳密に制限してください。また、入力検証を強化し、悪意のあるパスが挿入されるのを防ぐための対策を講じる必要があります。OpenSift の設定をレビューし、不要なファイルアクセス権限を削除することも重要です。アップグレード後、ファイルシステムの整合性を確認し、不正なファイルアクセスがないか監視してください。

修正方法

OpenSiftをバージョン1.6.3-alpha以降にアップデートしてください。このバージョンには、パストラバーサルの脆弱性に対する修正が含まれています。アップデートは、OpenSiftをインストールするために使用したパッケージマネージャーを通じて実行できます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-28676 — パス・トラバーサル OpenSift とは何ですか？