プラットフォーム
nodejs
コンポーネント
trek-travel-planner
修正版
2.7.3
TREKは共同旅行プランナーです。バージョン2.7.2より前のTREKでは、Immichの旅行写真管理ルートで認証チェックが不足していました。この脆弱性はバージョン2.7.2で修正され、セキュリティが強化されました。
TREK(共同旅行プランナー)のCVE-2026-40185は、不正なユーザーがImmich内の旅行写真管理にアクセスし、潜在的に操作することを可能にします。Immichの旅行写真管理ルートにおける認証チェックの欠如により、攻撃者は理論上、他のユーザーの写真をアップロード、削除、または変更する可能性があります。CVSSスコアは7.1で、中程度のリスクを示しています。この脆弱性は、Immich統合を利用するTREKユーザーのデータプライバシーと整合性を損なう可能性があります。
この脆弱性の悪用には、TREK APIへのアクセスと、その操作方法の基本的な理解が必要です。攻撃者は、curlまたはPostmanなどのツールを使用して、写真管理ルートに悪意のあるリクエストを送信し、欠落している認証チェックを回避する可能性があります。悪用の難易度は、ネットワーク構成と実装されているセキュリティ対策によって異なります。野外でのアクティブな悪用は報告されていませんが、この脆弱性は対処されない場合、重大なリスクをもたらします。
Organizations and individuals utilizing TREK Travel Planner for collaborative travel planning are at risk, particularly those running versions 1.0.0 through 2.7.2. Shared hosting environments where multiple users share the same TREK Travel Planner instance are also at increased risk, as a compromised account could potentially expose data for other users.
• nodejs / server:
journalctl -u trek-travel-planner | grep -i "authorization bypass"• generic web:
curl -I https://<trek-travel-planner-url>/immich/trip-photos/ # Check for 200 OK without authenticationdisclosure
エクスプロイト状況
EPSS
0.03% (8% パーセンタイル)
CISA SSVC
この脆弱性の解決策は、TREKをバージョン2.7.2以降にアップデートすることです。このバージョンには、Immichの写真管理機能への不正アクセスを防ぐために必要な認証修正が含まれています。TREKユーザーは、脆弱性の悪用リスクを軽減するために、できるだけ早くインストールをアップデートすることを強くお勧めします。さらに、旅行写真へのアクセス権をImmichで確認し、許可されたユーザーのみがアクセスできるようにしてください。システムログを監視して、不審な活動がないか確認してください。
Actualice TREK a la versión 2.7.2 o superior para mitigar la vulnerabilidad de autorización. Esta actualización implementa las verificaciones de autorización necesarias en las rutas de gestión de fotos de Immich, previniendo el acceso no autorizado a los datos.
脆弱性分析と重要アラートをメールでお届けします。
TREKは、ユーザーが旅行計画を整理および共有できる共同旅行プランナーです。
Immichは、セルフホスト型の写真管理アプリケーションです。
TREKの公式ドキュメントを参照して、バージョン2.7.2以降にアップデートする方法を確認してください。
TREK APIへのアクセスを制限し、Immichのアクセス権を確認してください。
野外でのアクティブな悪用は報告されていませんが、リスクを軽減するためにアップデートすることをお勧めします。
CVSS ベクトル