HIGHCVE-2026-34054CVSS 7.8

openssl on Windows ビルドマシンから openssldir が設定された状態でビルドされた場合 (Uncontrolled Search Path Element)

Q: CVE-2026-34054 とは何ですか？（OpenSSL）

vcpkg は、ソフトウェアプロジェクトにおける依存関係の管理を簡素化する C/C++ パッケージマネージャーです。

Q: OpenSSL の CVE-2026-34054 による影響を受けていますか？

コマンドラインで `vcpkg upgrade` コマンドを使用して vcpkg を更新できます。

Q: OpenSSL の CVE-2026-34054 を修正するにはどうすればよいですか？

必ずしもそうではありません。影響は、アプリケーションで OpenSSL と `openssldir` パスがどのように使用されるかによって異なります。

Q: CVE-2026-34054 は積極的に悪用されていますか？

現在、この脆弱性を検出するための特定のツールはありません。最適な方法は、使用している vcpkg のバージョンを確認することです。

Q: CVE-2026-34054 に関する OpenSSL の公式アドバイザリはどこで確認できますか？

ビルドマシンのアクセスを制限したり、OpenSSL 設定を確認したりするなど、追加のセキュリティ対策を講じることを検討してください。

プラットフォーム

openssl

コンポーネント

openssl

修正版

3.6.2

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-34054は、vcpkgのOpenSSL Windowsビルドにおける脆弱性で、openssldirがビルドマシン上の攻撃可能なパスに設定される可能性があります。これにより、顧客環境での攻撃リスクが生じます。影響を受けるバージョンは3.6.1#3未満です。この問題はバージョン3.6.1#3で修正されました。

影響と攻撃シナリオ

CVE-2026-34054 は、vcpkg によって管理されている OpenSSL の Windows ビルドに影響します。vcpkg 3.6.1#3 以前のバージョンでは、vcpkg は openssldir 変数をビルドマシンのパスに設定していました。これにより、このパスと関連する OpenSSL 設定が、ソフトウェアのインストール中に顧客マシンに転送される可能性がありました。攻撃者は、このパスが誤用されたり、それに不正なアクセスが許可されたりした場合、アプリケーションのセキュリティを侵害する可能性があります。CVSS スコア 7.8 は、中程度の重大度を持つ脆弱性を示しています。

悪用の状況

この脆弱性の悪用には、ビルドマシンへのアクセス、または vcpkg ビルドプロセスに影響を与える能力が必要です。攻撃者はビルドマシンの OpenSSL 設定を変更し、vcpkg を使用して侵害されたソフトウェアを配布する可能性があります。ソフトウェアが顧客マシンにインストールされると、openssldir パスが不安全に使用された場合、ソフトウェアが脆弱になる可能性があります。パスがネットワークアクセス可能なディレクトリを指している場合、またはそのディレクトリへの書き込みアクセスが許可されている場合、リスクは高まります。顧客マシンでの直接的な悪用は可能性が低いですが、ビルドと配布中の侵害のリスクは依然として大きいです。

リスク対象者翻訳中…

Organizations that utilize vcpkg for building C/C++ applications on Windows, particularly those relying on OpenSSL for secure communication or data encryption, are at risk. This includes developers, DevOps teams, and system administrators involved in the build and deployment pipelines. Shared hosting environments where multiple users build applications using a common vcpkg installation are also particularly vulnerable.

検出手順翻訳中…

• windows / supply-chain:

Get-ChildItem -Path "C:\Program Files\vcpkg\installed\x64-windows\bin\openssl.exe" -ErrorAction SilentlyContinue | Select-Object -ExpandProperty FullName

• linux / server:

find / -name "openssl.cnf" -print 2>/dev/null

• generic web:

curl -I https://example.com | grep openssldir

攻撃タイムライン

2026-03-31Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

レポート1 脅威レポート

EPSS

0.07% (21% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントopenssl

ベンダーmicrosoft

影響範囲修正版

< 3.6.1#3 – < 3.6.1#33.6.2

弱点分類 (CWE)

CWE-427

タイムライン

予約済み2026-03-25
公開日2026-03-31
更新日2026-04-02
EPSS 更新日2026-04-07

緩和策と回避策

この問題に対する解決策は、vcpkg をバージョン 3.6.1#3 以降に更新することです。このバージョンは openssldir の誤った設定を修正し、インストールプロセス中にパスが正しく設定されるようにすることで、ビルドマシンのパスが顧客マシンに転送されるのを防ぎます。このリスクを軽減するために、できるだけ早く vcpkg を更新することを強くお勧めします。さらに、プロジェクトの依存関係を確認して、安全なバージョンの vcpkg と OpenSSL を使用していることを確認してください。更新がこの脆弱性から保護するための最も重要なステップです。

修正方法翻訳中…

Actualice vcpkg a la versión 3.6.1#3 o posterior. Esto asegura que las compilaciones de OpenSSL en Windows no sean vulnerables a la manipulación de la ruta de búsqueda.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-34054 とは何ですか？（OpenSSL）