HIGHCVE-2026-40027CVSS 7.3

ALEAPP NQ Vault Artifact Parser パス・トラバーサル脆弱性

プラットフォーム

android

コンポーネント

aleapp

修正版

3.4.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-40027は、ALEAPP NQ Vault Artifact Parserにおけるパス・トラバーサル脆弱性です。この脆弱性は、攻撃者がデータベースから取得したファイル名に悪意のあるパス・トラバーサルペイロードを埋め込むことで、レポート出力ディレクトリ外への任意のファイル書き込みを可能にします。影響を受けるバージョンは0.0.0から3.4.0までであり、最新バージョンへのアップデートにより修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はALEAPP NQ Vault Artifact Parserが処理するデータベースからファイル名を取得し、そのファイル名をそのままレポート出力ディレクトリ外のファイル名として使用させることができます。例えば、../../../outsidewritten.binのようなペイロードをファイル名として挿入することで、/outsidewritten.binというファイルを書き込むことが可能になります。これにより、攻撃者は重要な設定ファイルを上書きしたり、実行可能ファイルを改ざんしたりすることで、システム全体の制御を奪う可能性があります。特に、この脆弱性は、ログ解析ツールが実行される環境において、機密情報の漏洩やシステムへの不正アクセスを許す危険性があります。

悪用の状況

CVE-2026-40027は、2026年4月8日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であり、攻撃者による探索の対象となる可能性があります。CISA KEVリストへの登録状況は不明です。パブリックなPoCは確認されていません。

リスク対象者翻訳中…

Organizations using ALEAPP NQ Vault Artifact Parser for Android log analysis are at risk, particularly those relying on automated parsing pipelines or integrating the parser into their security incident response workflows. Environments where the parser is deployed with elevated privileges or has access to sensitive system resources are at higher risk.

検出手順翻訳中…

• android / supply-chain:

Get-ScheduledTask | Where-Object {$_.Action.Path -like '*NQ_Vault.py*'}

• linux / server:

find / -name "NQ_Vault.py" 2>/dev/null

• generic web:

curl -I http://your-server/nq_vault_report.bin  # Check for unusual response headers

攻撃タイムライン

2026-04-08Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

レポート1 脅威レポート

EPSS

0.01% (1% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントaleapp

ベンダーabrignoni

影響範囲修正版

0.0.0 – 3.4.03.4.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-04-08
公開日2026-04-08
更新日2026-04-09
EPSS 更新日2026-04-16

未パッチ — 公開から46日経過

緩和策と回避策

この脆弱性への対応策として、まずALEAPP NQ Vault Artifact Parserをバージョン3.5.0以降にアップデートすることを推奨します。アップデートが困難な場合は、データベースからのファイル名取得時に、ファイル名に含まれるパス・トラバーサルペイロードを検証・サニタイズする処理を追加することを検討してください。また、WAF（Web Application Firewall）やプロキシサーバーの設定において、ファイル名に../のようなパス・トラバーサル文字列が含まれる場合に、アクセスを拒否するルールを実装することも有効です。ファイル書き込み先のディレクトリに対するアクセス権限を制限することも、攻撃の影響範囲を限定する上で重要です。アップデート後、ファイル名検証処理が正しく機能していることを確認してください。

修正方法翻訳中…

Actualice ALEAPP a una versión posterior a 3.4.0 para mitigar la vulnerabilidad de recorrido de ruta. La actualización corrige la forma en que se manejan los nombres de archivo, evitando que los atacantes escriban archivos arbitrariamente en el sistema.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-40027 — パス・トラバーサル脆弱性 in ALEAPP NQ Vault Artifact Parserとは何ですか？

CVE-2026-40027は、ALEAPP NQ Vault Artifact Parser (バージョン0.0.0～3.4.0)におけるパス・トラバーサル脆弱性であり、攻撃者がファイルシステムへの任意のファイル書き込みを可能にするものです。

CVE-2026-40027 in ALEAPP NQ Vault Artifact Parserに影響を受けますか？

ALEAPP NQ Vault Artifact Parserのバージョン0.0.0から3.4.0を使用している場合、この脆弱性に影響を受けます。

CVE-2026-40027 in ALEAPP NQ Vault Artifact Parserを修正するにはどうすればよいですか？

ALEAPP NQ Vault Artifact Parserをバージョン3.5.0以降にアップデートすることを推奨します。

CVE-2026-40027は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていません。

CVE-2026-40027の公式ALEAPP NQ Vault Artifact Parserのアドバイザリはどこで入手できますか？

公式アドバイザリは、ALEAPPのウェブサイトまたは関連するセキュリティ情報サイトで確認してください。