CVE-2026-23941

Critical(9.4)

CVE-2026-23941 — Erlang OTP inets httpd HTTPリクエストスマグリング

公開日: 2026-05-22データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Erlang OTP inets httpd	Erlang/OTP	修正バージョン未満

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

1erl -version でErlang/OTPバージョンを確認する
2Erlang CNAのアドバイザリで影響バージョンと修正バージョンを確認する
3修正バージョンへのアップデートを実施する
4inets httpdをプロキシ背後で利用している場合は設定を見直す

影響対象

Erlang OTP inets httpdをHTTPサーバーとして利用している環境

補足

-inets httpdを直接インターネットに公開している場合は特に優先度を高めて対応を推奨

CVEErlangOTPHTTPリクエストスマグリングinets

概要

Erlang OTPの標準HTTPサーバー実装「inets httpd」モジュールにHTTPリクエストスマグリング脆弱性があります（CWE-444：HTTPリクエストの不整合な解釈）。

フロントエンドプロキシとErlang inets httpdバックエンドの間でHTTPリクエストの境界を解釈する方法が異なる場合、攻撃者はこの不整合を悪用してプロキシのアクセス制御を回避したり、他のユーザーのセッションを汚染する可能性があります。

CVSSベクトル

項目	値
スコア	9.4 (CRITICAL)
攻撃経路 (AV)	ネットワーク (N)
攻撃の複雑さ (AC)	低 (L)
必要な権限 (PR)	不要 (N)
ユーザー関与 (UI)	不要 (N)
CWE	CWE-444（HTTPリクエストの不整合な解釈）

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Erlang OTP (inets httpd)	Erlang/OTP	修正バージョン未満

修正バージョンと回避策

Erlang/OTPの修正済みバージョンへのアップデートを推奨します。

推奨アクション:

使用しているErlang/OTPのバージョンを確認する（erl -version）
Erlang CNAのアドバイザリを確認し、修正バージョンを特定する
修正バージョンへのアップデートを実施する
inets httpdをプロキシ背後で使用している場合は、HTTPリクエストスマグリングに対するプロキシレベルの検証も検討する

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-23941

Erlang CNA:https://cna.erlef.org/cves/CVE-2026-23941.html

GitHub commit:https://github.com/erlang/otp/commit/a4b46336fd25aa100ac602eb9a627aaead7eda18

Xでシェアはてブ

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。