MEDIUMCVE-2026-35207CVSS 5.4

CVE-2026-35207: MITM in dde-control-center

Q: CVE-2026-35207 — MITM 攻撃は dde-control-center で何ですか？

CVE-2026-35207 は、dde-control-center の plugin-deepinid プラグインにおける中間者攻撃 (MITM) の脆弱性です。攻撃者は TLS 証明書検証をスキップし、アバター画像を改ざんできる可能性があります。

Q: CVE-2026-35207 — dde-control-center で私は影響を受けますか？

dde-control-center のバージョンが 5.5.3–>= 6.1.35, < 6.1.80 の場合は、影響を受けます。バージョン 6.1.80 または 5.9.9 にアップグレードしてください。

Q: CVE-2026-35207 — dde-control-center をどのように修正しますか？

dde-control-center をバージョン 6.1.80 または 5.9.9 にアップグレードしてください。アップグレードがシステムに影響を与える場合は、以前の安定バージョンへのロールバックを検討してください。

Q: CVE-2026-35207 — この脆弱性は積極的に悪用されていますか？

現時点では、この脆弱性を悪用する公開されている PoC は確認されていません。

Q: CVE-2026-35207 — dde-control-center の公式アドバイザリはどこで入手できますか？

Deepin の公式セキュリティアドバイザリを参照してください。詳細は Deepin のセキュリティ情報ページで確認してください。

プラットフォーム

linux

コンポーネント

dde-control-center

修正版

6.1.36

5.5.4

2.0.2

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-35207 は、Deepin Desktop Environment (DDE) のコントロールパネルである dde-control-center の plugin-deepinid プラグインにおける中間者攻撃 (MITM) の脆弱性です。この脆弱性により、攻撃者は TLS 証明書検証を迂回し、ユーザーのアバター画像を改ざんする可能性があります。影響を受けるバージョンは dde-control-center 5.5.3–>= 6.1.35, < 6.1.80 です。この問題は、dde-control-center 6.1.80 および 5.9.9 で修正されています。

影響と攻撃シナリオ

この脆弱性を悪用すると、攻撃者はネットワークトラフィックを傍受し、dde-control-center が OpenAPI.deepin.com やその他のプロバイダからユーザーのアバター画像をフェッチする際に TLS 証明書の検証をスキップしていることを利用できます。攻撃者は、悪意のあるまたは誤解を招く画像でアバターを置き換え、ユーザーを特定できる可能性があります。これは、ユーザーのなりすまし、フィッシング攻撃、またはその他の悪意のある活動につながる可能性があります。特に、信頼されたネットワーク環境外で DDE を使用しているユーザーは、この脆弱性の影響を受けやすくなります。

悪用の状況

この脆弱性は、2026年4月9日に公開されました。現時点では、この脆弱性を悪用する公開されている PoC は確認されていません。CISA KEV カタログへの追加状況は不明です。この脆弱性は、MITM 攻撃の可能性を秘めており、特に公共の Wi-Fi ネットワークなどの安全でないネットワーク環境で DDE を使用しているユーザーにとってリスクとなります。

リスク対象者翻訳中…

Users of Deepin Desktop Environment who rely on the dde-control-center for managing their Deepin ID cloud service are at risk. This includes users on systems running affected versions of dde-control-center, particularly those in environments where network traffic is potentially susceptible to interception.

検出手順翻訳中…

• linux / server:

journalctl -f -u dde-control-center | grep -i "tls certificate verification"

• linux / server:

ps aux | grep deepinid

• generic web: Use a network sniffer (e.g., Wireshark) to monitor traffic to openapi.deepin.com and look for connections without proper TLS certificate validation.

攻撃タイムライン

2026-04-09Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.02% (4% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdde-control-center

ベンダーlinuxdeepin

影響範囲修正版

>= 6.1.35, < 6.1.80 – >= 6.1.35, < 6.1.806.1.36

>= 5.5.3, < 5.9.9 – >= 5.5.3, < 5.9.95.5.4

>= 2.0.1, <= 2.0.9 – >= 2.0.1, <= 2.0.92.0.2

弱点分類 (CWE)

CWE-295

タイムライン

予約済み2026-04-01
公開日2026-04-09
更新日2026-04-13
EPSS 更新日2026-04-17

緩和策と回避策

この脆弱性への軽減策として、まず dde-control-center をバージョン 6.1.80 または 5.9.9 にアップグレードすることを強く推奨します。アップグレードがシステムに影響を与える場合は、以前の安定バージョンへのロールバックを検討してください。WAF (Web Application Firewall) またはプロキシサーバーを使用している場合は、OpenAPI.deepin.com へのトラフィックを監視し、不審なアクティビティをブロックするルールを実装することを検討してください。また、システムを最新の状態に保ち、セキュリティパッチを定期的に適用することが重要です。アップグレード後、dde-control-center --version コマンドを実行して、バージョンが正しく更新されていることを確認してください。

修正方法

dde-control-center パッケージをバージョン 6.1.80 以降、または 6.1.35 より前のバージョンを使用している場合はバージョン 5.9.9 にアップデートしてください。このアップデートは、アバターをダウンロードする際に TLS 証明書の検証をスキップすることを可能にする誤った設定を修正し、Man-in-the-Middle 攻撃のリスクを軽減します。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-35207 — MITM 攻撃は dde-control-center で何ですか？