概要
コンテンツ管理システム(CMS)であるCraft CMSにおいて、SSRF(Server-Side Request Forgery)保護機能がIPv6アドレス解決の特性によりバイパスされる脆弱性(CVE-2026-27129)が報告されました。この脆弱性は、以前のセキュリティ修正(CVE-2025-68437)のバイパスとして機能するとされています。
具体的には、Craft CMSのGraphQL AssetミューテーションにおけるSSRF検証が、IPv4アドレスのみを解決するgethostbyname()関数を使用していることに起因します。ホスト名がAAAA(IPv6)レコードのみを持つ場合、この関数はホスト名文字列自体を返し、ブロックリストとの比較が常に失敗することでSSRF保護が完全にバイパスされる可能性があります。
影響範囲
以下のCraft CMSのバージョンが本脆弱性の影響を受けると報告されています。
- Craft CMS バージョン 4.5.0-RC1 から 4.16.18
- Craft CMS バージョン 5.0.0-RC1 から 5.8.22
本脆弱性は、バージョン 4.16.19 および 5.8.23 で修正されています。
想定される影響
本脆弱性が悪用された場合、攻撃者はCraft CMSが動作するサーバーから、通常アクセスできないはずの内部ネットワーク上のリソースやクラウドメタデータサービスなど、外部・内部リソースに対してリクエストを送信できる可能性があります。
これにより、機密情報の漏洩や、内部システムへの不正アクセス、さらには他のシステムへの攻撃の足がかりとなるリスクが考えられます。
攻撃成立条件・悪用状況
攻撃の成立には、GraphQLスキーマにおいて特定のアセットボリュームに対するアセットの編集権限および作成権限が必要です。
これらの権限は、適切なGraphQLスキーマアクセスを持つ認証済みユーザー、または書き込み権限が誤って設定されている「Public Schema」を通じて付与される可能性があります。
現時点では、この脆弱性の具体的な悪用状況については不明です。
推奨対策
今すぐできる対策
- Craft CMSのアップデート: 影響を受けるバージョンをご利用の場合、速やかに以下の修正済みバージョンへアップデートすることを強く推奨します。
- Craft CMS 4.x系をご利用の場合: バージョン 4.16.19 以降
- Craft CMS 5.x系をご利用の場合: バージョン 5.8.23 以降
中長期的な対策
- GraphQLスキーマ権限の見直し: GraphQLスキーマにおけるアセットの編集・作成権限が、必要最小限のユーザーにのみ付与されているかを確認し、過剰な権限設定がないか定期的に見直してください。
- Public Schemaの設定確認: Public Schemaに書き込み権限が誤って付与されていないかを確認し、適切なアクセス制御を実施してください。
一時的な緩和策
本脆弱性に対する直接的な一時緩和策は提供されていません。速やかなアップデートが最も効果的な対策となります。
確認方法
ご自身のCraft CMSのバージョンを確認し、影響を受けるバージョンに該当するかどうかを確認してください。
参考情報
- CVE-2026-27129 詳細: https://cvefeed.io/vuln/detail/CVE-2026-27129