CVE-2026-34746は、Payloadのアップロード機能におけるサーバーサイドリクエストフォージェリ(SSRF)脆弱性です。認証されたユーザーがこの脆弱性を悪用すると、サーバーが意図しないHTTPリクエストを送信される可能性があります。この脆弱性はPayloadのバージョン3.79.1より前のバージョンに影響を与え、v3.79.1以降に修正されました。
このSSRF脆弱性は、認証されたユーザーがPayloadのアップロード機能を介して、サーバーが外部のHTTPリクエストを送信させることを可能にします。攻撃者は、内部リソースへの不正アクセス、機密情報の窃取、さらにはサーバーの制御を試みる可能性があります。特に、アップロードが有効になっているコレクションへのcreateまたはupdateアクセス権を持つユーザーは、この脆弱性の影響を受けやすくなります。攻撃者は、内部ネットワーク内の他のサービスやアプリケーションをスキャンし、脆弱性を発見する可能性があります。
この脆弱性は、2026年4月1日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、SSRF脆弱性は一般的に悪用されやすいと考えられます。CISA KEVカタログへの登録状況は不明です。
Organizations using Payload in their Node.js applications are at risk, particularly those with upload functionality enabled and where authenticated users have 'create' or 'update' access to those collections. Shared hosting environments utilizing Payload with default configurations are also potentially vulnerable.
• nodejs / server:
npm list payload• nodejs / server:
npm audit payload• nodejs / server:
grep -r 'http.request' ./node_modules/payloaddisclosure
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
この脆弱性への最も効果的な対策は、Payloadをバージョン3.79.1以降にアップグレードすることです。アップグレードが一時的にシステムに影響を与える可能性がある場合は、ロールバック手順を事前に準備しておくことを推奨します。アップグレードが不可能な場合は、WAF(Web Application Firewall)やリバースプロキシを使用して、外部へのHTTPリクエストを制限するルールを設定することを検討してください。また、アップロード機能のアクセス制御を厳格化し、不要なアップロード機能を無効化することも有効です。
Payload CMSをバージョン3.79.1以降にアップデートしてください。このバージョンにはSSRF脆弱性に対する修正が含まれています。リスクを軽減するために、できるだけ早くアップデートすることをお勧めします。
脆弱性分析と重要アラートをメールでお届けします。
v3.79.1とは何ですか?CVE-2026-34746は、Payload v3.79.1以前のバージョンにおけるサーバーサイドリクエストフォージェリ(SSRF)脆弱性です。認証されたユーザーがアップロード機能を悪用し、サーバーが任意のURLにHTTPリクエストを送信する可能性があります。
v3.79.1の影響はありますか?Payloadのバージョン3.79.1より前のバージョンを使用しており、かつアップロードが有効になっているコレクションへのcreateまたはupdateアクセス権を持つ認証されたユーザーは影響を受けます。
v3.79.1を修正するにはどうすればよいですか?Payloadをバージョン3.79.1以降にアップグレードしてください。アップグレードが不可能な場合は、WAFやリバースプロキシを使用して外部へのHTTPリクエストを制限するルールを設定してください。
現時点では、公的なPoCは確認されていませんが、SSRF脆弱性は一般的に悪用されやすいと考えられます。
Payloadの公式アドバイザリは、Payloadの公式ウェブサイトまたはセキュリティ情報ページで確認してください。
CVSS ベクトル