つみかさね

CVE-2026-42601

Critical(9.8)

CVE-2026-42601 — ArchiveBox 設定インジェクションによるRCE

公開日: 2026-05-15データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
ArchiveBoxArchiveBox<= 0.8.6rc0

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1ArchiveBoxを使用しているか確認する
  2. 2パッチが提供されるまで/add/エンドポイントへのアクセスを制限する
  3. 3認証プロキシの導入を検討する

影響対象

ArchiveBox利用者

補足

  • -パッチ未提供のため、アクセス制限による回避策を優先してください
CVEArchiveBoxRCE引数インジェクション

概要

ArchiveBoxはオープンソースのセルフホスト型Webアーカイブシステムです。バージョン0.8.6rc0以前において、/add/ エンドポイント(core/views.pyのAddView)がconfig JSONフィールドを検証なしでクロール設定にマージします。この設定はアーカイブプラグイン実行時に環境変数としてエクスポートされるため、任意のツール引数を注入してリモートコード実行(RCE)が可能です。

現時点でパッチは公開されていません。

CVSSベクトル

項目
CVSSスコア9.8(Critical)
CWECWE-88(引数インジェクション)
攻撃元区分(AV)ネットワーク
攻撃条件の複雑さ(AC)
必要な特権レベル(PR)不要
ユーザー関与(UI)不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)

影響を受けるソフトウェア

  • ArchiveBox: v0.8.6rc0 以前の全バージョン

修正バージョンと回避策

  • パッチ未提供: 現時点で修正バージョンは公開されていません
  • 信頼できないユーザーからの /add/ エンドポイントへのアクセスを制限してください
  • ネットワークレベルでのアクセス制御(認証プロキシの導入等)を検討してください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42601
GitHub Advisory:https://github.com/ArchiveBox/ArchiveBox/security/advisories/GHSA-3h23-7824-pj8r
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。