概要
Statamicは、LaravelとGitをベースにしたコンテンツ管理システム(CMS)です。この脆弱性(CVE-2026-28423)は、Statamicが使用する画像操作ライブラリGlideが「安全でないモード(insecure mode)」で設定されている場合に発生します。認証されていないユーザーが、Glideの画像プロキシ機能、またはウォーターマーク機能を通じて、サーバーに任意のURLへのHTTPリクエストを送信させることが可能になるというものです。これはサーバーサイドリクエストフォージェリ(SSRF)攻撃の一種です。
影響範囲
- Statamicのバージョン5.73.11および6.4.0より前のバージョンが影響を受けます。
- Glideが「安全でないモード」で使用されている場合にのみ影響があります。このモードはデフォルト設定ではないと報告されています。
想定される影響
- 攻撃者は、脆弱なサーバーから到達可能な内部サービス、クラウドメタデータエンドポイント、またはその他のホストにアクセスできる可能性があります。
- これにより、機密情報の漏洩や、内部システムへの不正なアクセス経路を確立されるリスクが考えられます。
攻撃成立条件・悪用状況
攻撃成立条件
- Statamicが影響を受けるバージョンであること(5.73.11および6.4.0より前)。
- Glide画像操作ライブラリが「安全でないモード(insecure mode)」で設定されていること。このモードはデフォルト設定ではないと報告されています。
- 認証されていないユーザーが攻撃を実行できるとされています。
悪用状況
- 現時点では、この脆弱性が実際に広く悪用されているという具体的な報告は確認されていません。
推奨対策(優先度付き)
【最優先】今すぐできる対策
- Statamicを修正済みのバージョンにアップデートしてください。
- バージョン5.73.11以降
- バージョン6.4.0以降
【中長期】設定の見直し
- Glideが「安全でないモード」で動作していないことを確認し、必要に応じて安全な設定に変更してください。
- サーバーのネットワーク構成を見直し、内部サービスやメタデータエンドポイントへのアクセスが外部から直接行えないよう、適切なファイアウォールルールやネットワークセグメンテーションを適用することを検討してください。
一時的な緩和策
直ちにアップデートが困難な場合は、Glideの設定を確認し、「安全でないモード」が有効になっていないことを確認してください。この設定を無効にすることで、本脆弱性の悪用を防ぐことができる可能性があります。
確認方法
- 現在稼働しているStatamicのバージョンを確認してください。
- Glideの設定ファイルまたは関連ドキュメントを参照し、「安全でないモード」に関する設定がどのように構成されているかを確認してください。
参考情報
詳細については、以下のリンクを参照してください。