プラットフォーム
python
コンポーネント
geonode
修正版
4.4.5
5.0.2
GeoNodeのバージョン4.0より前の4.4.5と5.0より前の5.0.2には、ドキュメントアップロード時のサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が存在します。認証されたユーザーが、ドキュメントアップロード時に悪意のあるURLをdoc_urlパラメータ経由で提供することで、任意のHTTPリクエストをトリガーできます。この脆弱性は、内部リソースへのアクセスを可能にし、バージョン5.0.2で修正されました。
CVE-2026-39921 は、GeoNode の 4.4.5 より前のバージョンと 5.0 より前のバージョン 5.0.2 に影響します。このサーバーサイドリクエストフォージェリ (SSRF) の脆弱性は、ドキュメントアップロード権限を持つ認証済みユーザーが、ドキュメントアップロード中に 'doc_url' パラメータ経由で提供された URL を操作して、任意の外部 HTTP リクエストをトリガーすることを可能にします。攻撃者は、内部ネットワークターゲット、ループバックアドレス、RFC1918 アドレス、またはクラウドメタデータサービスを指す URL を提供できます。これにより、通常は外部からアクセスできない内部リソースへの不正アクセスが可能になり、内部システムの機密性、完全性、および可用性が損なわれる可能性があります。SSRF の軽減策がないことはリスクを悪化させ、脆弱性の悪用における柔軟性を高めます。
GeoNode 内で有効な資格情報とドキュメントアップロード権限を持つ攻撃者は、この脆弱性を悪用できます。たとえば、攻撃者は、内部データベースサービスまたは機密情報を含むクラウドメタデータサービスを指す URL を提供する可能性があります。この脆弱性は、ドキュメントアップロードプロセス中に 'doc_url' パラメータを操作することによって悪用されます。適切な URL 検証がないため、攻撃者は HTTP リクエストの宛先を制御でき、リクエストの偽装につながります。成功した悪用には認証が必要ですが、ドキュメントアップロード権限を超える特権は必要ありません。
Organizations deploying GeoNode for geospatial data management, particularly those with internal network resources accessible from the GeoNode server, are at risk. Environments with shared hosting or where user permissions are not strictly controlled are especially vulnerable, as a compromised user account could be leveraged to exploit this SSRF vulnerability.
• python / server:
# Check GeoNode version
python -c 'import sys; print(sys.version_info)'
# Monitor document upload endpoints for unusual outbound requests in access logs
grep -i 'doc_url=' /var/log/geonode/access.log• generic web:
# Check for exposed document upload endpoints
curl -I http://<geonode_server>/geonode/uploaddisclosure
エクスプロイト状況
EPSS
0.04% (11% パーセンタイル)
CISA SSVC
推奨される解決策は、GeoNode をバージョン 4.4.5 以降、またはバージョン 5.0.2 以降にアップグレードすることです。これらのバージョンには、SSRF 脆弱性を軽減するための修正が含まれています。さらに、アクセス制御ポリシーを見直し、強化して、ドキュメントアップロード権限を承認されたユーザーのみに制限します。ユーザーが提供する URL の厳格な検証とサニタイズを実装することは、将来の SSRF 脆弱性を防止するために不可欠です。サーバーログを監視して、外部 HTTP リクエストに関連する疑わしいアクティビティを検出し、潜在的な攻撃に対応することができます。
Actualice GeoNode a la versión 4.4.5 o superior, o a la versión 5.0.2 o superior para mitigar la vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF). Esta actualización corrige el problema al validar las URLs proporcionadas durante la carga de documentos, evitando que se realicen solicitudes no autorizadas a recursos internos.
脆弱性分析と重要アラートをメールでお届けします。
SSRF (Server-Side Request Forgery) は、攻撃者がサーバーに攻撃者が制御するリソースへのリクエストを実行させることを可能にする脆弱性です。これにより、内部リソースへのアクセスまたは他のシステムの操作が可能になる場合があります。
GeoNode 内で有効な資格情報とドキュメントアップロード権限が必要です。
GeoNode の 4.0 より前のバージョン 4.4.5 および 5.0 より前のバージョン 5.0.2 が脆弱です。
使用している GeoNode のバージョンを確認してください。4.4.5 または 5.0.2 より前のバージョンである場合は、脆弱です。
一時的な回避策として、特定のドメインへの外部 HTTP リクエストを制限するために、URL ブラックリストを実装できます。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。