プラットフォーム
python
コンポーネント
ajenti
修正版
0.112.1
0.112
CVE-2026-40178 は、Ajenti における Race Condition の脆弱性です。認証済みユーザーが 2FA を有効にしている場合、認証直後に認証をバイパスできる可能性があります。影響を受けるバージョンは 0.0.0 から 0.111 までです。バージョン 0.112 へのアップグレードでこの問題は修正されています。
この脆弱性は、認証済みユーザーが 2FA を有効にしている場合、認証プロセス中に一時的に認証をバイパスすることを可能にします。攻撃者は、この脆弱性を悪用して、本来アクセス権限のない Ajenti インスタンスに不正にアクセスし、機密情報を盗んだり、システム設定を改ざんしたりする可能性があります。2FA が有効になっているとはいえ、認証を回避できるため、セキュリティリスクは高くなります。この脆弱性は、Ajenti を使用している組織にとって、重大な脅威となります。
この脆弱性は、2026年4月10日に公開されました。現時点では、この脆弱性を悪用する公開されている PoC は確認されていません。CISA KEV カタログへの登録状況は不明です。攻撃者は、この脆弱性を悪用して、Ajenti インスタンスへの不正アクセスを試みる可能性があります。
Systems administrators and DevOps engineers utilizing Ajenti Web Panel for server management are at risk. This is particularly relevant for those relying on 2FA for enhanced security, as the vulnerability undermines this protection. Users with older Ajenti installations (versions 0.0.0 - 0.111) are especially vulnerable.
• python / server:
journalctl -u ajenti | grep -i "authentication bypass"• python / server:
ps aux | grep -i "ajenti"• generic web: curl -I http://yourajentiserver/login.html | grep 'Server: Ajenti'
disclosure
エクスプロイト状況
EPSS
0.09% (25% パーセンタイル)
CISA SSVC
この脆弱性への最も効果的な対策は、Ajenti をバージョン 0.112 へのアップグレードです。アップグレードが直ちに実行できない場合は、2FA を無効にすることは推奨されません。代替策として、Ajenti のアクセス制御を強化し、不要なポートを閉じ、ファイアウォールルールを適切に設定することで、攻撃対象領域を減らすことができます。また、Ajenti のログを定期的に監視し、不審なアクティビティがないか確認することも重要です。アップグレード後、Ajenti の設定を再確認し、セキュリティポリシーに準拠していることを確認してください。
Ajenti Core プラグインをバージョン 0.112 以降にアップデートすることで、2要素認証 (2FA) における競合状態の脆弱性を軽減します。このアップデートは、ユーザー認証後の短い期間中に認証を回避できた問題を修正します。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-40178 は、Ajenti における Race Condition の脆弱性です。認証済みユーザーが 2FA を有効にしている場合、認証直後に認証をバイパスできる可能性があります。
Ajenti のバージョンが 0.0.0 から 0.111 の場合、この脆弱性に影響を受けます。
Ajenti をバージョン 0.112 へのアップグレードが推奨されます。
現時点では、この脆弱性を悪用する公開されている PoC は確認されていません。
Ajenti の公式アドバイザリは、Ajenti のウェブサイトまたは関連するセキュリティ情報源で確認してください。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。