つみかさね

CVE-2026-42167

High(8.1)

CVE-2026-42167 — ProFTPD mod_sql SQLインジェクション

公開日: 2026-05-03データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
ProFTPDProFTPD Project< 1.3.9a

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1ProFTPDのバージョンを確認する
  2. 21.3.9a以降へアップデートする
  3. 3mod_sqlのログ設定を確認し、%Uマクロの使用状況を見直す
  4. 4FTPサーバーへのアクセス制御を強化する

影響対象

ProFTPD利用者(mod_sql使用環境)

補足

  • -PoCが公開されているため早急な対応を推奨
  • -インターネットに公開されたFTPサーバーは特に優先度が高い
CVEProFTPDSQLインジェクションRCE

概要

ProFTPD 1.3.9aより前のバージョンにおいて、mod_sqlモジュールにSQLインジェクション脆弱性が存在します。この脆弱性は、USERリクエストのログ記録処理における%Uマクロ展開に起因しており、ユーザー名フィールドを通じてSQL文を注入することが可能です。

SQLバックエンドの構成によっては、この脆弱性を悪用してリモートからのコード実行(RCE)に至る可能性があります。特にPostgreSQLのCOPY TO PROGRAMのようなコマンド実行機能が有効な環境では危険性が高まります。

本脆弱性に対する概念実証コード(PoC)が公開されているため、攻撃が容易に再現される状況にあります。ProFTPDはLinuxサーバーで広く使用されているFTPサーバーソフトウェアであり、インターネットに公開されたFTPサーバーを運用している場合は速やかな対応が必要です。

CVSSベクトル

指標
CVSSスコア8.1
深刻度High
CWECWE-89(SQLインジェクション)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要

影響を受けるソフトウェア

  • ProFTPD 1.3.9aより前のバージョン(mod_sqlモジュール使用時)

修正バージョンと回避策

  • ProFTPD 1.3.9a以降へアップデートしてください
  • アップデートが困難な場合は、mod_sqlモジュールのログ設定で%Uマクロの使用を一時的に停止することを検討してください
  • FTPサーバーへのアクセスをIPアドレスで制限することも有効な緩和策です

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42167
GitHub Issue:https://github.com/proftpd/proftpd/issues/2052
oss-security:https://www.openwall.com/lists/oss-security/2026/05/01/4
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。