概要
JeecgBoot 3.9.0において、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性(CVE-2026-2945)が報告されました。この脆弱性は、ファイル「/sys/common/uploadImgByHttp」の特定の機能に存在し、引数「fileUrl」を操作することで悪用される可能性があります。攻撃はリモートから実行可能であり、本脆弱性を悪用するコードが既に公開されているとされています。ベンダーからは現時点で応答がないため、利用者は早急な確認と対策が推奨されます。
影響範囲
- 対象製品: JeecgBoot 3.9.0
- 脆弱な機能: ファイル「
/sys/common/uploadImgByHttp」内の不明な機能
想定される影響
本脆弱性が悪用された場合、攻撃者はJeecgBootが動作するサーバーを介して、内部ネットワーク上の他のシステムへのアクセスを試みたり、機密情報を取得したりする可能性があります。これにより、情報漏洩や、さらなる攻撃の踏み台として利用されるといった被害につながるおそれがあります。
攻撃成立条件・悪用状況
- 攻撃成立条件: 攻撃者が「
fileUrl」引数を操作できる場合に、リモートから攻撃が可能です。 - 悪用状況: 本脆弱性を悪用するためのコードが既に一般に公開されていると報告されており、攻撃のリスクが高まっています。ベンダーからの公式な対応は現時点では確認されていません。
推奨対策
優先度:高
- JeecgBootのアップデート: ベンダーから本脆弱性に対応するパッチや新しいバージョンがリリースされた場合は、速やかに適用してください。現時点ではベンダーからの応答がないため、継続的な情報収集が必要です。
- WAF/IPSによる防御: Web Application Firewall (WAF) や Intrusion Prevention System (IPS) を導入している場合、SSRF攻撃パターンや不審な「
fileUrl」引数を含むリクエストをブロックするよう設定を強化することを検討してください。
優先度:中
- JeecgBootの利用状況の確認: 自社環境でJeecgBoot 3.9.0が稼働しているか、また「
/sys/common/uploadImgByHttp」機能が利用されているかを確認してください。 - ネットワークセグメンテーションの強化: JeecgBootが稼働するサーバーと、内部の重要なシステムとの間に適切なネットワークセグメンテーションを適用し、アクセス制御を厳格化してください。
- 外部からのアクセス制限: JeecgBootの管理画面や脆弱な機能への外部からのアクセスを最小限に制限し、VPN接続やIPアドレス制限などを活用することを検討してください。
一時的な緩和策
- アクセス制限の実施: 可能であれば、Webサーバーやロードバランサーの設定により、「
/sys/common/uploadImgByHttp」への外部からのアクセスを一時的に制限することを検討してください。 - パラメータフィルタリング: WAFやプロキシサーバーで、「
fileUrl」引数に不審なURLスキーム(例:file://,gopher://)や内部IPアドレスが含まれていないかフィルタリングするルールを追加することを検討してください。
確認方法
- JeecgBootのバージョン確認: 現在利用しているJeecgBootのバージョンが3.9.0であるかを確認してください。
- システムログの監視: WebサーバーやJeecgBootのアクセスログ、エラーログを定期的に監視し、不審なリクエストやエラーがないかを確認してください。特に「
/sys/common/uploadImgByHttp」への異常なアクセスパターンに注意が必要です。