概要
openDCIMのバージョン23.04(コミット4467e9c4以前)において、認証不備の脆弱性(CVE-2026-28515)が報告されました。この脆弱性は、install.phpおよびcontainer-install.phpファイルに存在し、インストーラーおよびアップグレードハンドラーがLDAP設定機能を公開する際に、アプリケーションのロールチェックを適切に実施しないことに起因します。結果として、割り当てられた権限に関わらず、任意の認証済みユーザーがこの機能にアクセスできる可能性があります。さらに、REMOTE_USERが認証強制なしで設定されている環境では、認証情報なしで当該エンドポイントにアクセスされる可能性も指摘されています。この脆弱性の深刻度は「CRITICAL」と評価されています。
影響範囲
- openDCIMバージョン23.04(コミット4467e9c4以前)
想定される影響
この脆弱性が悪用された場合、以下のような影響が想定されます。
- 認証されたユーザーであれば、本来アクセス権限のないユーザーでもLDAP設定を変更できる可能性があります。
- LDAP設定の不正な変更により、ユーザー認証情報の改ざん、システムへの不正アクセス、またはデータ漏洩につながる恐れがあります。
- 特定の環境設定(
REMOTE_USERが認証強制なしで設定されている場合)では、認証なしでLDAP設定機能にアクセスされ、アプリケーション設定が不正に変更される可能性も指摘されています。
攻撃成立条件・悪用状況
攻撃成立条件
- 脆弱なバージョンのopenDCIMを使用していること。
- 認証済みユーザーが存在する場合、そのユーザーは権限レベルに関わらず
install.phpおよびcontainer-install.phpを介してLDAP設定機能にアクセスできると報告されています。 - 特に、
REMOTE_USERが認証強制なしで設定されている環境では、認証情報なしで当該エンドポイントにアクセスされる可能性も指摘されています。
悪用状況
現時点では、この脆弱性が実際に悪用されたという具体的な報告は確認されていません。
推奨対策
今すぐできる対策(最優先)
- openDCIMのアップデート: 開発元から提供される修正パッチや最新バージョンへの速やかなアップデートを強く推奨します。この脆弱性はコミット4467e9c4以降のバージョンで修正されていると報告されています。
中長期的な対策
- アクセス権限の見直し: アプリケーションのLDAP設定機能へのアクセス権限が適切に設定されているか、最小権限の原則に基づき見直してください。
- 認証設定の強化:
REMOTE_USERなどの認証メカニズムが適切に機能し、認証が強制されていることを確認してください。
一時的な緩和策
- 該当ファイルへのアクセス制限:
install.phpおよびcontainer-install.phpへのWebサーバーレベルでのアクセス制限(例: 特定のIPアドレスからのみ許可、管理者ユーザーのみアクセス可能にするなど)を検討してください。ただし、これは一時的な措置であり、根本的な解決にはアップデートが必要です。
確認方法
- 現在利用しているopenDCIMのバージョンが23.04(コミット4467e9c4以前)であるかを確認してください。
- Webサーバーのアクセスログを監視し、
install.phpやcontainer-install.phpへの不審なアクセスがないか確認してください。
参考情報
- CVE-2026-28515 詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-28515