HIGHCVE-2026-33752CVSS 8.6

curl_cffi: Redirect-based SSRF leads to internal network access in curl_cffi (with TLS impersonation bypass)

Q: CVE-2026-33752 — SSRF in curl-cffiとは何ですか？

CVE-2026-33752は、curl-cffiライブラリにおけるサーバーサイドリクエストフォワード（SSRF）脆弱性です。攻撃者はこの脆弱性を利用して、内部ネットワークリソースに不正にアクセスする可能性があります。

Q: CVE-2026-33752 in curl-cffiに影響を受けますか？

curl-cffiのバージョンが0.9.0b2以下を使用している場合は、影響を受けます。バージョン0.15.0以降にアップデートすることで、この脆弱性を解消できます。

Q: CVE-2026-33752 in curl-cffiを修正するにはどうすればよいですか？

curl-cffiをバージョン0.15.0以降にアップデートしてください。アップデートできない場合は、ファイアウォールルールやWAFの設定で内部IPアドレスへのアクセスを制限するなどの対策を講じてください。

Q: CVE-2026-33752は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、SSRF脆弱性は悪用される可能性が高いため、早急な対応が必要です。

Q: CVE-2026-33752に関するcurl-cffiの公式アドバイザリはどこで入手できますか？

curl-cffiの公式アドバイザリは、プロジェクトのGitHubリポジトリまたは関連するセキュリティ情報サイトで確認できます。

プラットフォーム

python

コンポーネント

curl-cffi

修正版

0.15.1

0.15.0

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

curl-cffiにおけるCVE-2026-33752は、サーバーサイドリクエストフォワード（SSRF）脆弱性です。この脆弱性により、攻撃者はcurl-cffiが処理するリクエストを内部サービスに誘導し、機密情報への不正アクセスや、さらなる攻撃の足掛かりを得ることが可能になります。影響を受けるバージョンは0.9.0b2以下ですが、0.15.0へのアップデートで修正されています。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者がcurl-cffiを利用して外部から内部ネットワークリソースにアクセスすることを可能にします。例えば、クラウドメタデータエンドポイントへのリクエストを誘導することで、認証情報や設定情報を窃取する可能性があります。TLS impersonation機能と組み合わせることで、リクエストが正当なブラウザからのものとして偽装され、既存のネットワークセキュリティ対策を回避するリスクがあります。攻撃者は、内部ネットワーク内の他のシステムへの攻撃を試みることも可能です。この脆弱性の影響範囲は広範囲に及び、機密情報の漏洩や、システムへの不正アクセスにつながる可能性があります。

悪用の状況

この脆弱性は2026年4月3日に公開されました。現在、公的なPoCは確認されていませんが、SSRF脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。CISA KEVリストへの登録状況は不明です。NVD（National Vulnerability Database）の情報も参照し、最新の動向を注視してください。

リスク対象者翻訳中…

Applications and services that rely on the curl-cffi Python library for making HTTP requests are at risk. This includes web applications, automation scripts, and any other Python-based tools that utilize curl-cffi. Specifically, environments where curl-cffi is used to interact with cloud metadata endpoints or other internal services are particularly vulnerable.

検出手順翻訳中…

• python / library:

import subprocess
result = subprocess.run(['pip', 'show', 'curl-cffi'], capture_output=True, text=True)
if 'Version:' in result.stdout:
    version = result.stdout.split('Version:')[1].strip().split('\n')[0]
    if version <= '0.9.0b2':
        print('Vulnerable version of curl-cffi detected!')

• generic web:

curl -I https://your-application-url/ | grep -i 'Server:'

• generic web:

curl -I https://your-application-url/ | grep -i 'X-Powered-By:'

攻撃タイムライン

2026-04-03Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.01% (2% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響

影響を受けるソフトウェア

コンポーネントcurl-cffi

ベンダーosv

影響範囲修正版

< 0.15.0 – < 0.15.00.15.1

—0.15.0

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2026-03-23
公開日2026-04-03
更新日2026-04-06
EPSS 更新日2026-04-14

公開後0日でパッチ適用

緩和策と回避策

まず、curl-cffiをバージョン0.15.0以降にアップデートすることを推奨します。アップデートが利用できない場合は、curl-cffiがアクセスするURLに対して、内部IPアドレスへのアクセスを制限するファイアウォールルールを実装してください。また、リダイレクトを許可しない設定や、TLS impersonation機能を無効化することも有効な対策となります。WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御するルールを設定することも検討してください。アップデート後、curl-cffiのバージョンを確認し、脆弱性が解消されていることを確認してください。

修正方法

curl_cffi ライブラリをバージョン 0.15.0 以降にアップデートすることで、脆弱性を軽減できます。このアップデートにより、内部 IP 範囲へのリクエストが制限され、リダイレクトの問題が修正され、内部サービスへの不正アクセスを防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33752 — SSRF in curl-cffiとは何ですか？