プラットフォーム
python
コンポーネント
geonode
修正版
4.4.6
5.0.3
4.4.5
4.4.5
GeoNodeのバージョン4.0より前の4.4.5と5.0より前の5.0.2には、サービス登録エンドポイントにおけるサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が存在します。認証された攻撃者は、フォーム検証中に悪意のあるサービスURLを送信することで、任意のURLへの外部ネットワークリクエストをトリガーできます。この脆弱性は、内部ネットワークターゲットへのプロビングを可能にし、バージョン5.0.2で修正されました。
CVE-2026-39922 は、GeoNode のバージョン 4.4.5 以前、およびそれぞれのリリースにおける 5.0.2 以前のバージョンに影響を与えます。この脆弱性は、サービス登録エンドポイントに存在するサーバーサイドリクエストフォージェリ (SSRF) です。認証された攻撃者は、これを悪用して、任意の URL への外部ネットワークリクエストをトリガーできます。これにより、ループバックアドレス、RFC1918 プライベート IP アドレス範囲、リンクローカルアドレス、クラウドメタデータサービスなど、内部ネットワークターゲットを調査できます。URL の検証不足が根本原因であり、攻撃者がセキュリティ制限を回避し、保護された内部リソースにアクセスすることを可能にします。
GeoNode への認証されたアクセス権を持つ攻撃者は、この脆弱性を悪用できます。プロセスには、サービス登録エンドポイントに悪意のあるリクエストを作成し、目的の内部または外部リソースを指す URL を提供することが含まれます。GeoNode は、このリクエストを処理すると、攻撃者の代わりに指定された宛先へのネットワークリクエストを行います。これにより、攻撃者は機密情報にアクセスしたり、内部システムでコマンドを実行したり、その他の悪意のあるアクションを実行したりできます。この脆弱性の重大度は、攻撃者が強制リクエストを通じて取得できるアクセス権によって異なります。
エクスプロイト状況
EPSS
0.04% (11% パーセンタイル)
CISA SSVC
CVE-2026-39922 の主な軽減策は、GeoNode をバージョン 5.0.3 以降にアップグレードすることです。このバージョンには、サービス登録中に提供される URL を適切に検証する修正が含まれており、SSRF を防止します。一時的な対策として、信頼できるユーザーとシステムにのみサービス登録エンドポイントへのアクセスを制限します。さらに、GeoNode から必要な宛先への外部接続を制限するファイアウォールとネットワークルールを実装することで、成功した悪用による潜在的な影響を軽減できます。疑わしいアクティビティの有無で GeoNode ログを監視することも、潜在的な攻撃を検出し、対応するために重要です。
Actualice GeoNode a la versión 5.0.3 o superior para mitigar la vulnerabilidad SSRF. La actualización corrige la validación de URL en el punto final de registro de servicios, previniendo que atacantes autenticados realicen solicitudes de red arbitrarias.
脆弱性分析と重要アラートをメールでお届けします。
SSRF (Server-Side Request Forgery) の脆弱性により、攻撃者はサーバーに任意の URL へのリクエストを強制し、内部または外部のリソースにアクセスする可能性があります。
これは、攻撃者が GeoNode のサービス登録エンドポイントにアクセスするために有効な資格情報を持っている必要があることを意味します。
バージョン 5.0.3 には、この SSRF 脆弱性の悪用を防ぐために必要な修正が含まれています。
一時的な対策として、サービス登録エンドポイントへのアクセスを制限し、GeoNode からの外部接続を制限してください。
GeoNode の公式ウェブサイトをご覧ください: [https://geonode.org/](https://geonode.org/)
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。