MEDIUMCVE-2026-40500CVSS 6.8

ProcessWire: 管理パネルの 'URL からモジュールを追加' 機能におけるサーバーサイドリクエストフォージェリ脆弱性

プラットフォーム

php

コンポーネント

processwire

修正版

3.0.256

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2026-40500 describes a server-side request forgery (SSRF) vulnerability discovered in the ProcessWire Content Management System (CMS). This flaw resides within the admin panel's 'Add Module From URL' feature, allowing authenticated administrators to manipulate module download URLs. Successful exploitation can lead to the server making outbound HTTP requests to attacker-controlled hosts, potentially exposing internal resources and sensitive data. The vulnerability affects ProcessWire CMS versions from 0.0.0 up to and including 3.0.255; a patch is available in version 3.0.256.

影響と攻撃シナリオ

ProcessWire CMS (バージョン 3.0.255 以前) の CVE-2026-40500 は、サーバーサイドリクエストフォージェリ (SSRF) の脆弱性です。この欠陥は、管理パネルの「URL からモジュールを追加」機能に存在します。認証された管理者は、モジュールのダウンロード URL を操作して、攻撃者が制御する内部または外部のサーバーを指すようにすることができます。これにより、サーバーがこれらの悪意のある宛先に対して HTTP リクエストを送信するようになります。攻撃が成功すると、機密情報の開示、制限された内部リソースへのアクセス、および他の脆弱性と組み合わせることでコードの実行につながる可能性があります。

悪用の状況

ProcessWire 管理パネルへの認証されたアクセス権を持つ攻撃者は、この脆弱性を悪用できます。攻撃者は、モジュール追加プロセス中に「モジュール URL」フィールドに悪意のある URL を提供できます。サーバーの応答（エラーであっても）は、内部ネットワーク構造に関する情報を明らかにし、攻撃者が内部ポートスキャンとホスト列挙を実行できるようにする可能性があります。エラーメッセージを区別する機能は、開いているポートの識別を容易にし、スキャンプロセスをより信頼性の高いものにします。これにより、通常は外部からアクセスできない内部サービスが公開される可能性があります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (9% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントprocesswire

ベンダーprocesswire

影響範囲修正版

0 – 3.0.2553.0.256

3.0.2553.0.256

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2026-04-13
公開日2026-04-15
更新日2026-04-16
EPSS 更新日2026-04-23

緩和策と回避策

このリスクを軽減するには、ProcessWire CMS バージョン 3.0.256 以降にアップデートしてください。このバージョンには、ユーザーが提供する URL を検証およびサニタイズする修正が含まれており、SSRF を防止します。さらに、管理パネルへのアクセスポリシーを確認および強化し、承認されたユーザーのみが管理者権限を持つようにします。サーバーのアクティビティを異常な HTTP リクエストに対して監視することも、潜在的な攻撃試行を検出および対応するのに役立ちます。Web アプリケーションファイアウォール (WAF) を実装すると、追加の保護レイヤーが提供されます。

修正方法

ProcessWire CMS のバージョンを 3.0.256 以降にアップデートすることで、SSRF の脆弱性を軽減してください。このアップデートは、管理パネルの 'URL からモジュールを追加' 機能で提供される URL を適切に検証することで問題を修正します。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-40500 とは何ですか？（ProcessWire CMS）

SSRF (Server-Side Request Forgery) は、攻撃者がサーバーに攻撃者が制御するリソースへのリクエストを実行させることを可能にする脆弱性の種類です。これにより、内部リソースにアクセスしたり、内部ネットワークをスキャンしたり、コードを実行したりすることができます。

ProcessWire CMS の CVE-2026-40500 による影響を受けていますか？

ProcessWire CMS バージョン 3.0.255 以前を使用している場合は、ウェブサイトが脆弱です。確認する最も安全な方法は、最新バージョン (3.0.256 以降) にアップデートすることです。

ProcessWire CMS の CVE-2026-40500 を修正するにはどうすればよいですか？

すぐにアップデートできない場合は、管理パネルへのアクセスを制限し、サーバーアクティビティを監視するなど、軽減策を実装してください。

CVE-2026-40500 は積極的に悪用されていますか？

SSRF を検出できる脆弱性スキャンツールがありますが、ProcessWire の最新バージョンにアップデートすることが最も効果的な解決策です。

CVE-2026-40500 に関する ProcessWire CMS の公式アドバイザリはどこで確認できますか？

攻撃者は、内部ネットワーク構造、開いているポート、内部ホストに関する情報を入手する可能性があり、制限された内部リソースにアクセスする可能性もあります。