つみかさね

CVE-2026-40258

Critical(9.1)

CVE-2026-40258 — Gramps Web API Zip Slip 脆弱性

公開日: 2026-05-01データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Gramps Web APIgramps-project1.6.0以上 3.11.1未満

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1Gramps Web APIのバージョンを確認する
  2. 2v3.11.1以降へアップデートする
  3. 3ZIPインポート機能のアクセス制御を確認する

影響対象

Gramps Web API利用者

補足

  • -オーナー権限を持つ認証済みユーザーのみが悪用可能だが、CVSS 9.1のためアップデートを最優先とする
CVEGrampsZip Slipパストラバーサル

概要

Gramps Web API(バージョン1.6.0〜3.11.0)のメディアアーカイブインポート機能に、Zip Slip脆弱性が存在します。オーナーレベルの権限を持つ認証済みユーザーが、ディレクトリトラバーサル文字列を含む悪意のあるZIPファイルを作成することで、サーバーファイルシステム上の意図した展開ディレクトリ外の任意のパスにファイルを書き込むことができます。

Zip Slipは、ZIPアーカイブ内のエントリ名が ../ などのパストラバーサルシーケンスを含む場合に発生する既知のクラスの脆弱性です(CWE-22)。攻撃者はこれを利用してWebシェルや設定ファイルを任意の場所に配置し、リモートコード実行やシステムの制御奪取につなげる可能性があります。

バージョン3.11.1でZIPエントリ名を解決済みリアルパスに対して検証することで修正されました。Gramps Web APIを利用している場合は速やかに3.11.1以降へのアップデートを強く推奨します。

CVSSベクトル

指標
CVSSスコア9.1(Critical)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な権限レベル
ユーザー操作不要
CWECWE-22(パストラバーサル)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Gramps Web APIgramps-project1.6.0〜3.11.0未満

修正バージョンと回避策

  • 修正: Gramps Web API 3.11.1 以降へアップデート
  • 回避策: ZIPインポート機能へのアクセス権限(オーナー権限)を最小化する。信頼できないユーザーにオーナー権限を付与しない

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-40258
GitHub Advisory:https://github.com/gramps-project/gramps-web-api/security/advisories/GHSA-m5gr-86j6-99jp
GitHub Release:https://github.com/gramps-project/gramps-web-api/releases/tag/v3.11.1
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。