CRITICALCVE-2026-40177CVSS 9.5

ajenti.plugin.core は 2FA が有効になっている場合にパスワードバイパスの脆弱性があります

Q: CVE-2026-40177 — 認証バイパス in Ajentiとは何ですか？

CVE-2026-40177は、Ajentiのバージョン0.0.0～0.111において、2FAが有効な場合でもパスワード認証を回避できる脆弱性です。攻撃者はこの脆弱性を悪用して、Ajentiの管理インターフェースに不正アクセスする可能性があります。

Q: CVE-2026-40177 in Ajentiの影響はありますか？

はい、Ajentiのバージョン0.0.0～0.111を使用している場合、この脆弱性によって認証を回避され、機密情報が漏洩したり、システムが不正に操作されたりするリスクがあります。

Q: CVE-2026-40177 in Ajentiを修正するにはどうすればよいですか？

Ajentiをバージョン0.112にアップグレードすることで修正できます。アップグレードが難しい場合は、アクセス制限などの緩和策を講じることを推奨します。

Q: CVE-2026-40177は積極的に悪用されていますか？

現時点では公開されているPoCはありませんが、認証バイパスの脆弱性は悪用される可能性が高いため、早急な対応が必要です。

Q: CVE-2026-40177に関するAjentiの公式アドバイザリはどこで入手できますか？

Ajentiの公式アドバイザリは、Ajentiのウェブサイトまたは関連するセキュリティ情報源で確認できます。

プラットフォーム

python

コンポーネント

ajenti

修正版

0.112.1

0.112

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-40177は、Ajentiにおいて、2要素認証(2FA)が有効な場合でもパスワード認証を回避できる脆弱性です。攻撃者はこの脆弱性を悪用することで、認証を回避し、システムに不正アクセスする可能性があります。この脆弱性は、Ajentiのバージョン0.0.0から0.111までのバージョンに影響を与えます。バージョン0.112へのアップグレードで修正されています。

影響と攻撃シナリオ

この脆弱性は、Ajentiの認証メカニズムを完全に迂回することを可能にします。2FAが有効になっている場合でも、攻撃者はパスワード認証を回避し、Ajentiの管理インターフェースにアクセスできます。これにより、機密情報（設定ファイル、ユーザーデータなど）の漏洩、システム設定の変更、さらにはシステム全体の制御権の奪取といった深刻な被害が発生する可能性があります。攻撃者は、この脆弱性を悪用して、Ajentiを管理しているサーバー全体に影響を及ぼす可能性があります。

悪用の状況

この脆弱性は、2026年4月10日に公開されました。現時点では、公開されているPoCは確認されていませんが、認証バイパスの脆弱性は悪用される可能性が高いため、早急な対応が必要です。CISA KEVリストへの登録状況は不明です。

リスク対象者翻訳中…

Organizations utilizing Ajenti for system management and configuration, particularly those relying on 2FA for enhanced security, are at significant risk. Environments with legacy Ajenti installations or those lacking robust patching processes are especially vulnerable. Shared hosting environments where multiple users share an Ajenti instance also face increased risk.

検出手順翻訳中…

• python / server:

import subprocess
result = subprocess.run(['ajenti', '--version'], capture_output=True, text=True)
if result.stdout.strip() < '0.112':
    print('Vulnerable Ajenti version detected!')

攻撃タイムライン

2026-04-10Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.09% (25% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントajenti

ベンダーajenti

影響範囲修正版

< 0.112 – < 0.1120.112.1

—0.112

弱点分類 (CWE)

CWE-287

タイムライン

予約済み2026-04-09
公開日2026-04-10
更新日2026-04-14
EPSS 更新日2026-04-18

緩和策と回避策

この脆弱性への最も効果的な対策は、Ajentiをバージョン0.112にアップグレードすることです。アップグレードが困難な場合は、一時的な緩和策として、Ajentiへのアクセスを厳格に制限するファイアウォールルールを実装することを検討してください。また、不審なアクティビティを監視し、異常なログイン試行を検出するためのセキュリティ監視システムを導入することも有効です。アップグレード後、ログイン機能をテストし、認証が正常に機能していることを確認してください。

修正方法

Ajenti プラグインをバージョン 0.112 以降にアップデートすることで、2要素認証 (2FA) が有効になっている場合のパスワードバイパスの脆弱性を軽減できます。 このアップデートにより、2FA が有効になっている場合でもパスワード認証が正しく行われるよう修正されています。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-40177 — 認証バイパス in Ajentiとは何ですか？