MEDIUMCVE-2026-28808

ScriptAlias CGI ターゲットにおけるディレクトリ認証バイパス (mod_auth と mod_cgi パス不一致)

プラットフォーム

apache

コンポーネント

erlang-otp

修正版

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

Erlang/OTP の inets モジュールにおける脆弱性により、scriptalias を使用して CGI スクリプトを提供する場合、ディレクトリルールで保護されたスクリプトへの未認証アクセスが可能になる可能性があります。これは、modauth が DocumentRoot 相対パスでディレクトリアクセス制御を評価するのに対し、mod_cgi が ScriptAlias で解決されたパスでスクリプトを実行するため、パスの不一致が発生するためです。影響を受けるバージョンは Erlang/OTP 17.0.0 以降です。修正パッチが提供されています。

影響と攻撃シナリオ

CVE-2026-28808は、Erlang OTP（inetsモジュール）において、scriptalias経由でCGIスクリプトを提供する場合、ディレクトリルールによって保護されたCGIスクリプトへの不正アクセスを可能にする脆弱性です。これは、modauthとmodcgiがパスを評価する方法の違いに起因します。modauthはDocumentRoot相対パスに対してディレクトリベースのアクセス制御を評価する一方、mod_cgiはScriptAliasで解決されたパスでスクリプトを実行します。このパスの不一致により、認証されていない攻撃者が、ディレクトリルールによって保護されるはずのCGIスクリプトにアクセスできるようになります。潜在的な影響には、サーバー上での任意のコード実行、機密情報の暴露、データ操作などが含まれます。この脆弱性の深刻度は、暴露されたCGIスクリプトの重要性と、それらが処理するデータの機密性によって異なります。

悪用の状況

この脆弱性は、modauthとmodcgi間のパス評価の違いを利用して悪用されます。攻撃者は、scriptaliasをDocumentRoot外のディレクトリを指すように構成し、次に、必要な資格情報なしでそのディレクトリ内のCGIスクリプトにアクセスしようとします。modcgiがScriptAliasによって解決されたパスを使用するため、DocumentRootに対する相対的に評価されるディレクトリベースのアクセス制御が回避されます。悪用には、Webサーバーへのネットワークアクセスと、script_alias構成の知識が必要です。悪用の複雑さは比較的低く、重大なリスクとなります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.06% (20% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントerlang-otp

ベンダーErlang

影響範囲修正版

5.10 – **

17.0 – **

07b8f441ca711f9812fad9e9115bab3c3aa92f79 – **

弱点分類 (CWE)

CWE-863

タイムライン

予約済み2026-03-03
公開日2026-04-07
EPSS 更新日2026-04-15

緩和策と回避策

CVE-2026-28808の主な軽減策は、修正が含まれるErlang OTPのバージョンに更新することです。Erlang OTPのリリースノートを参照して、具体的なアップグレード手順を確認してください。一時的な回避策として、ファイアウォールまたはアクセス制御リスト（ACL）を介して影響を受けるCGIスクリプトへのアクセスを制限することを検討してください。さらに、script_alias構成を注意深く確認して、パスが安全であり、意図しないディレクトリへのアクセスを許可しないようにしてください。すべてのCGIスクリプトに対する堅牢な認証の実装は、一般的なセキュリティベストプラクティスであり、このリスクを軽減するのにも役立ちます。サーバーログを不正アクセス試行がないか監視することも重要です。

修正方法翻訳中…

Actualice Erlang/OTP a la versión 28.4.3 o superior para mitigar esta vulnerabilidad. La vulnerabilidad se debe a una discrepancia en la evaluación de la autorización entre mod_auth y mod_cgi, que permite el acceso no autenticado a scripts CGI.  Asegúrese de aplicar la actualización en todos los entornos afectados.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-28808 とは何ですか？（Erlang/OTP）

Erlang OTPは、高可用性システムで広く使用されている、高並行性で分散されたアプリケーションを構築するためのプラットフォームです。

Erlang/OTP の CVE-2026-28808 による影響を受けていますか？

script_aliasは、Webサーバー（Apacheなど）の構成ディレクティブであり、URLをファイルシステム上のディレクトリにマッピングします。

Erlang/OTP の CVE-2026-28808 を修正するにはどうすればよいですか？

影響を受けるCGIスクリプトが機密性の高いユーザーデータを処理する場合、この脆弱性により攻撃者がその情報にアクセスできるようになる可能性があります。

CVE-2026-28808 は積極的に悪用されていますか？

一時的な対策として、ファイアウォールまたはACLを介して影響を受けるCGIスクリプトへのアクセスを制限できます。

CVE-2026-28808 に関する Erlang/OTP の公式アドバイザリはどこで確認できますか？

Erlang OTPのリリースノートと、NVD（National Vulnerability Database）のような脆弱性データベースで、より多くの情報を得ることができます。