無料スキャン
分析待ちCVE-2026-44347

CVE-2026-44347: CSRF in Warpgate

プラットフォーム

linux

コンポーネント

warpgate

修正版

0.23.3

NVDで見る
保存

Warpgate は、Linux 用のオープンソースの SSH、HTTPS、MySQL バスティオンホストです。バージョン 0.23.3 以前では、SSO フローの state パラメータの検証が不十分なため、CSRF (Cross-Site Request Forgery) 攻撃を受ける可能性があります。この脆弱性はバージョン 0.23.3 で修正されており、影響を受けるユーザーは速やかにアップデートすることを推奨します。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はユーザーを騙して、攻撃者のアカウントで機密性の高い操作を実行させることができます。例えば、攻撃者はユーザーを偽のログインページに誘導し、ユーザーがログインした際に、攻撃者の SSH ターゲットに機密データを書き込んだり、攻撃者が設定した HTTP ターゲットにログインさせたりする可能性があります。攻撃者は、この脆弱性を利用して、Warpgate を介してアクセスされる機密情報を窃取したり、システムを不正に操作したりする可能性があります。

悪用の状況

この脆弱性は、2026年5月12日に公開されました。現時点では、この脆弱性を悪用した具体的な事例は報告されていません。しかし、CSRF 攻撃は、攻撃者にとって比較的容易に実行可能な攻撃手法であり、悪用される可能性は高いと考えられます。この脆弱性は、KEV (Kernel Exploitability Test) の評価は未定です。EPSS (Exploit Prediction Scoring System) スコアも評価待ちです。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:N5.8MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityHigh悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionRequired被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityNone機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
高 — 競合条件、非標準設定、または特定の状況が必要。悪用が難しい。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
なし — 機密性への影響なし。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントwarpgate
ベンダーwarp-tech
最小バージョン0.0.0
最大バージョン< 0.23.3
修正版0.23.3

弱点分類 (CWE)

CWE-352

タイムライン

  1. 公開日

緩和策と回避策

この脆弱性への最も効果的な対策は、Warpgate をバージョン 0.23.3 にアップデートすることです。アップデートが利用できない場合は、SSO フローの state パラメータの検証を強化し、CSRF 攻撃を防ぐための対策を講じる必要があります。Web Application Firewall (WAF) を導入し、CSRF 攻撃を検出してブロックすることも有効です。また、Warpgate のアクセス制御を強化し、不正なアクセスを防止することも重要です。アップデート後、バージョン 0.23.3 が正しくインストールされ、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

Actualice Warpgate a la versión 0.23.3 o superior para mitigar la vulnerabilidad. Esta actualización valida correctamente el parámetro de estado en el flujo de SSO, previniendo que un atacante pueda engañar a un usuario para que inicie sesión en su cuenta y realice acciones maliciosas.

よくある質問

CVE-2026-44347 とは何ですか?(Warpgate の CSRF)

Warpgate の脆弱性で、攻撃者が CSRF 攻撃を実行できる可能性があります。バージョン 0.0.0 未満 0.23.3 以前に影響します。

Warpgate の CVE-2026-44347 による影響を受けていますか?

Warpgate のバージョンが 0.0.0 未満 0.23.3 以前の場合は、影響を受ける可能性があります。

Warpgate の CVE-2026-44347 を修正するにはどうすればよいですか?

Warpgate をバージョン 0.23.3 にアップデートしてください。

CVE-2026-44347 は積極的に悪用されていますか?

現時点では、悪用事例は報告されていません。

CVE-2026-44347 に関する Warpgate の公式アドバイザリはどこで確認できますか?

NVD (National Vulnerability Database) や CISA (Cybersecurity and Infrastructure Security Agency) のウェブサイトで詳細を確認できます。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...