つみかさね

CVE-2026-22207

Critical(9.8)

CVE-2026-22207 — OpenViking 認証バイパスによるROOT権限取得

公開日: 2026-04-08データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
OpenVikingVolcengine0.1.18 以前

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1root_api_keyが設定されているか確認する
  2. 2最新コミット以降へアップデートする
  3. 3ネットワークアクセスを信頼できるIPに制限する

影響対象

OpenViking利用者

補足

  • -デフォルト設定で脆弱な状態になるため注意が必要
CVEOpenViking認証バイパスアクセス制御

概要

OpenViking の バージョン 0.1.18 以前(commit 0251c70 以前)に 認証バイパス の 脆弱性 が 存在 します。root_api_key 設定 が 省略 されている 場合、未認証 の 攻撃者 が ROOT 権限 を 取得 できます。認証 ヘッダー なし で 保護 エンドポイント に リクエスト を 送信 し、アカウント 管理、リソース 操作、システム 設定 などの 管理機能 に アクセス 可能 です。

CVSS ベクトル

項目
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要
ユーザー関与不要
CWECWE-306(認証機能の欠如)

影響を受けるソフトウェア

製品ベンダー影響バージョン
OpenVikingVolcengine0.1.18 以前

修正バージョンと回避策

  • 修正コミット: 0251c70
  • root_api_key が 設定 されている こと を 確認 してください
  • アップデート が 困難 な 場合 は ネットワークレベル で アクセス を 制限 してください

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-22207
VulnCheck:https://www.vulncheck.com/advisories/openviking-missing-root-api-key-allows-anonymous-root-access
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。