TREK Travel Plannerは、共同で旅行計画を立てるためのアプリケーションです。バージョン1.0.0から2.7.2未満のバージョンでは、認証なしにアップロードされた写真が公開される脆弱性が存在します。この脆弱性を悪用されると、機密情報が漏洩する可能性があります。2.7.2にアップデートすることでこの問題は修正されており、早急な対応が推奨されます。
この脆弱性は、認証されていないユーザーがTREK Travel Plannerにアップロードされた写真にアクセスできることを意味します。攻撃者は、機密情報を含む写真(例えば、旅行計画の詳細、個人情報など)を不正に取得する可能性があります。特に、旅行計画に個人情報や機密情報が含まれている場合、攻撃者はそれらの情報を悪用して、さらなる攻撃を仕掛ける可能性があります。この脆弱性は、機密情報の漏洩という重大な影響をもたらす可能性があります。
この脆弱性は、2026年4月10日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていません。CISA KEVカタログへの登録状況は不明です。しかし、認証なしで機密情報にアクセスできる脆弱性であるため、潜在的なリスクを考慮し、早急な対応が必要です。
Organizations and individuals using TREK for collaborative travel planning, particularly those relying on the platform to store sensitive travel information or personal photos, are at risk. Shared hosting environments where multiple TREK instances reside are also potentially vulnerable, as a compromise of one instance could expose photos from others.
• generic web:
curl -I https://your-trek-instance.com/uploads/photo.jpgIf the response returns a 200 OK status without requiring authentication, the vulnerability may be present. • generic web:
grep -r 'uploads/photo.jpg' /var/log/apache2/access.logLook for access attempts to the photo upload directory from unauthorized IP addresses.
disclosure
エクスプロイト状況
EPSS
0.06% (19% パーセンタイル)
CISA SSVC
この脆弱性への最も効果的な対策は、TREK Travel Plannerをバージョン2.7.2にアップデートすることです。アップデートがすぐに利用できない場合、一時的な回避策として、アップロードされた写真へのアクセスを制限するファイアウォールルールを実装することを検討してください。また、アップロードされた写真の保存場所へのアクセス権を厳格に管理することも重要です。アップデート後、写真へのアクセスが適切に制限されていることを確認してください。
アップロードされたファイルへの認証なしアクセスを回避するために、TREKをバージョン2.7.2以降にアップデートしてください。このアップデートは、アップロードされた写真へのアクセスに認証を要求することで脆弱性を修正します。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-40184は、TREK Travel Plannerのバージョン1.0.0から2.7.2未満において、認証なしにアップロードされた写真が公開される脆弱性です。これにより、機密情報が漏洩する可能性があります。
はい、TREK Travel Plannerのバージョン1.0.0から2.7.2を使用している場合、この脆弱性により機密情報が漏洩するリスクがあります。
TREK Travel Plannerをバージョン2.7.2にアップデートすることで、この脆弱性を修正できます。
現時点では、この脆弱性を悪用した公開されているPoCは確認されていません。
TREK Travel Plannerの公式アドバイザリは、TREK Travel Plannerのウェブサイトで確認できます。
CVSS ベクトル