プラットフォーム
other
コンポーネント
home-gallery
修正版
1.21.1
CVE-2026-28679は、HomeGalleryというオープンソースのWebギャラリーソフトウェアにおけるパストラバーサル脆弱性です。この脆弱性により、認証された攻撃者は、Webギャラリーのメディアソースディレクトリ外にある機密性の高いシステムファイルをダウンロードできる可能性があります。影響を受けるバージョンは1.21.0以前であり、バージョン1.21.0で修正されました。
この脆弱性を悪用されると、攻撃者はHomeGalleryサーバー上の機密性の高いシステムファイルにアクセスし、ダウンロードすることが可能です。これには、設定ファイル、ソースコード、またはその他の機密データが含まれる可能性があります。攻撃者は、この情報を利用して、サーバーをさらに侵害したり、機密情報を盗み出したりする可能性があります。この脆弱性は、特にHomeGalleryをインターネットに公開している環境において、重大なリスクをもたらします。攻撃者は、ファイル名に「..」のようなパストラバーサルシーケンスを使用することで、意図しないファイルにアクセスできます。
この脆弱性は、2026年3月6日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、パストラバーサル脆弱性は一般的に悪用が容易であるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。
Organizations and individuals using self-hosted instances of HomeGallery, particularly those with legacy configurations or inadequate file permission settings, are at risk. Shared hosting environments where multiple users share the same server are also potentially vulnerable if HomeGallery is installed.
disclosure
エクスプロイト状況
EPSS
0.06% (18% パーセンタイル)
CISA SSVC
この脆弱性への最良の対応策は、HomeGalleryをバージョン1.21.0以降にアップデートすることです。アップデートがすぐに利用できない場合、Webサーバーの設定で、HomeGalleryのメディアディレクトリへのアクセスを制限することを検討してください。また、WAF(Web Application Firewall)を導入し、パストラバーサル攻撃を検知・ブロックするルールを設定することも有効です。アクセスログを監視し、不審なファイルアクセスを検出することも重要です。アップデート後、ファイルダウンロード機能が正常に動作することを確認してください。
HomeGallery をバージョン 1.21.0 以降にアップデートしてください。このバージョンは、任意のファイルの読み込みを可能にするパス・トラバーサル脆弱性を修正しています。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-28679は、HomeGalleryのバージョン1.21.0以前に存在するパストラバーサル脆弱性で、攻撃者が機密性の高いシステムファイルにアクセスする可能性があります。
HomeGalleryのバージョンが1.21.0以前の場合は、この脆弱性の影響を受けます。バージョン1.21.0以降にアップデートしてください。
HomeGalleryをバージョン1.21.0以降にアップデートしてください。アップデートがすぐに利用できない場合は、Webサーバーの設定でアクセスを制限することを検討してください。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、注意が必要です。
HomeGalleryの公式ウェブサイト(https://home-gallery.org/)でアドバイザリを確認してください。
CVSS ベクトル