プラットフォーム
other
コンポーネント
ghostfolio
修正版
2.245.1
CVE-2026-28680は、Ghostfolioというオープンソースの資産管理ソフトウェアにおけるSSRF(サーバーサイドリクエストフォワード)脆弱性です。攻撃者は、手動資産インポート機能を悪用することで、内部ネットワークへのアクセスや機密情報の窃取を試みる可能性があります。この脆弱性は、バージョン2.245.0以前のGhostfolioに存在し、バージョン2.245.0で修正されています。
このSSRF脆弱性を悪用されると、攻撃者はGhostfolioがアクセスできる内部ネットワーク上のリソースにアクセスできるようになります。具体的には、クラウド環境におけるインスタンスメタデータサービス(IMDS)を介して機密情報を取得したり、内部ネットワーク上の他のサービスをスキャンしたりすることが可能です。IMDSから取得できる情報には、クラウドインスタンスの認証情報や設定情報などが含まれる可能性があり、システム全体のセキュリティを脅かす可能性があります。攻撃者は、この脆弱性を利用して、さらなる攻撃への足がかりを築くことも考えられます。
この脆弱性は、2026年3月6日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、SSRF脆弱性は一般的に悪用が容易であるため、注意が必要です。CISA KEVカタログへの登録状況は不明ですが、CVSSスコアがCRITICALであることから、潜在的なリスクが高いと考えられます。
Organizations utilizing Ghostfolio for wealth management, particularly those deploying it in cloud environments or with direct access to internal network resources, are at significant risk. Shared hosting environments where Ghostfolio is installed could also be vulnerable, as attackers may be able to exploit the vulnerability through other tenants.
disclosure
エクスプロイト状況
EPSS
0.05% (15% パーセンタイル)
CISA SSVC
この脆弱性への対応策として、まずGhostfolioをバージョン2.245.0以降にアップデートすることを推奨します。アップデートが困難な場合は、手動資産インポート機能を一時的に無効化するか、アクセス可能なリソースを制限するなどの回避策を検討してください。WAF(Web Application Firewall)を導入し、SSRF攻撃を検知・防御するルールを設定することも有効です。また、内部ネットワークへのアクセスを厳格に制限し、不要なポートを閉じることで、攻撃の影響範囲を最小限に抑えることができます。アップデート後、Ghostfolioのログを監視し、不審なアクティビティがないか確認してください。
Ghostfolio をバージョン 2.245.0 以降にアップデートしてください。このバージョンでは、手動資産インポート機能における SSRF の脆弱性が修正されています。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-28680は、Ghostfolioのバージョン2.245.0以前におけるSSRF脆弱性です。攻撃者は手動資産インポート機能を悪用して、内部ネットワーク上のリソースにアクセスできる可能性があります。
はい、バージョン2.245.0以前のGhostfolioを使用している場合、この脆弱性により内部ネットワークへの不正アクセスや機密情報の漏洩のリスクがあります。
Ghostfolioをバージョン2.245.0以降にアップデートしてください。アップデートが困難な場合は、手動資産インポート機能を無効化するか、アクセス可能なリソースを制限するなどの回避策を検討してください。
現時点では公的なPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であるため、注意が必要です。
Ghostfolioの公式アドバイザリは、GhostfolioのウェブサイトまたはGitHubリポジトリで確認できます。
CVSS ベクトル