概要
ホームインベントリおよび整理システムであるHomeBoxにおいて、認証済みユーザーが任意のURLに対してHTTP POSTリクエストを送信できる、Blind Server-Side Request Forgery (SSRF) の脆弱性(CVE-2026-27600)が報告されました。
この脆弱性は、通知機能において、指定されたホスト、IPアドレス、またはポートに対する検証や制限が適用されていないことに起因します。アプリケーションはターゲットサービスからの応答ボディを返しませんが、宛先のネットワーク状態に応じてUIの動作が異なるため、行動的なサイドチャネルを通じて内部サービスの列挙が可能になる可能性があります。
影響範囲
HomeBoxのバージョン0.24.0-rc.1より前のバージョンがこの脆弱性の影響を受けます。
- HomeBox バージョン 0.24.0-rc.1 未満
想定される影響
この脆弱性が悪用された場合、認証済み攻撃者はHomeBoxが稼働しているサーバーからアクセス可能な内部ネットワーク上のサービスを探索(列挙)できる可能性があります。直接的なデータ漏洩やシステム改ざんには直結しないものの、内部ネットワークの構造や存在するサービスに関する情報を収集されることで、その後の攻撃の足がかりとなるリスクが考えられます。
攻撃成立条件・悪用状況
この脆弱性を悪用するには、HomeBoxシステムに対する認証済みユーザーアカウントが必要です。提供された情報からは、この脆弱性が実際に悪用された事例や概念実証(PoC)の公開状況については明確に記載されていません。
推奨対策
今すぐできる対策
- HomeBoxのアップデート: 脆弱性が修正されたバージョン 0.24.0-rc.1 以降に速やかにアップデートしてください。これが最も効果的な対策です。
中長期的な対策
- ネットワークセグメンテーション: HomeBoxが稼働するサーバーを、重要な内部システムから分離されたネットワークセグメントに配置することを検討してください。
- 送信トラフィックの監視: HomeBoxサーバーからの不審な外部または内部へのHTTPリクエストを監視し、異常を検知できる体制を構築してください。
一時的な緩和策
直ちにアップデートが困難な場合、HomeBoxサーバーからの外部および内部ネットワークへのHTTP通信を、必要最小限の宛先に制限するファイアウォールルールを適用することを検討してください。ただし、これは根本的な解決策ではないため、可能な限り早期のアップデートを推奨します。
確認方法
現在利用しているHomeBoxのバージョンを確認してください。バージョンが0.24.0-rc.1未満である場合は、脆弱性の影響を受ける可能性があります。
参考情報
- CVE-2026-27600 – HomeBox affected by Blind SSRF: https://cvefeed.io/vuln/detail/CVE-2026-27600