プラットフォーム
javascript
コンポーネント
ferret
修正版
2.0.1
CVE-2026-34783は、ウェブデータ処理ツールFerretにおけるパストラバーサル脆弱性です。この脆弱性は、攻撃者が悪意のあるウェブサイトから返されるファイル名に含まれる '../' シーケンスを利用して、Ferretを実行しているシステムに任意のファイルを書き込めることを意味します。影響を受けるバージョンは0.0.0から2.0.0-alpha.4までの範囲です。2.0.0-alpha.4へのアップデートで修正されています。
この脆弱性は、攻撃者がFerretが処理するウェブサイトから返されるファイル名に '../' シーケンスを挿入することで、Ferretが書き込むファイルのパスを制御することを可能にします。これにより、攻撃者はCronジョブ、SSH authorized_keysファイル、シェルプロファイル、またはウェブアプリケーションのファイルなど、システム上の任意の場所にファイルを書き込むことができます。書き込まれたファイルの内容も攻撃者が制御できるため、リモートコード実行につながる可能性があります。例えば、悪意のあるスクリプトをCronジョブとして設定することで、定期的に実行されるコードを注入し、システムを制御する可能性があります。
CVE-2026-34783は、2026年4月6日に公開されました。現時点では、この脆弱性の公開されているPoCは確認されていませんが、パストラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。
Developers and organizations using Ferret for web scraping and data extraction are at risk. Specifically, those relying on untrusted external data sources without proper input validation are particularly vulnerable. Shared hosting environments where multiple users may be running Ferret scripts could also be affected, as an attacker could potentially compromise the entire host.
• javascript / node.js:
// Check for Ferret version
const ferretVersion = require('ferret').version;
console.log(`Ferret version: ${ferretVersion}`);
// If version < 2.0.0-alpha.4, the system is vulnerable.• generic web:
# Check for suspicious file writes in logs
grep -r "../" /var/log/ferret/*disclosure
エクスプロイト状況
EPSS
0.17% (38% パーセンタイル)
CISA SSVC
この脆弱性への最も効果的な対策は、Ferretをバージョン2.0.0-alpha.4以降にアップデートすることです。アップデートがすぐに利用できない場合は、ウェブスクレイピングの処理において、ファイル名に含まれる '../' シーケンスを検証し、無効化する入力検証を実装することを検討してください。また、WAF(Web Application Firewall)を使用して、悪意のあるファイル名パターンをブロックすることも有効です。Ferretの実行環境をサンドボックス化することで、攻撃の影響範囲を限定することも可能です。
Actualice a la versión 2.0.0-alpha.4 o posterior para mitigar la vulnerabilidad de recorrido de ruta. Asegúrese de que las rutas de salida se validen adecuadamente para evitar la inyección de rutas maliciosas. Revise el código para identificar y corregir cualquier instancia donde los nombres de archivo proporcionados por el usuario se utilicen para construir rutas de archivo.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-34783は、Ferretのバージョン0.0.0~2.0.0-alpha.4におけるパストラバーサル脆弱性です。攻撃者は、悪意のあるウェブサイトから返されるファイル名を利用して、Ferretを実行しているシステムに任意のファイルを書き込める可能性があります。
Ferretのバージョン0.0.0から2.0.0-alpha.4を使用している場合は、この脆弱性の影響を受けています。バージョン2.0.0-alpha.4以降にアップデートすることを推奨します。
Ferretをバージョン2.0.0-alpha.4以降にアップデートしてください。アップデートがすぐに利用できない場合は、ファイル名に含まれる '../' シーケンスを検証し、無効化する入力検証を実装することを検討してください。
現時点では、この脆弱性の公開されているPoCは確認されていませんが、パストラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。
Ferretの公式アドバイザリは、プロジェクトのウェブサイトまたはGitHubリポジトリで確認してください。
CVSS ベクトル