つみかさね

CVE-2026-45744

Critical(9.9)

CVE-2026-45744 — Termix OSコマンドインジェクション脆弱性

公開日: 2026-06-10データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
TermixTermix-SSH< 2.3.2

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1Termixのバージョンを確認する
  2. 2v2.3.2未満の場合はv2.3.2以降へアップデートする
  3. 3アップデートが困難な場合はファイルマネージャー機能へのアクセスを制限する

影響対象

Termix利用者

補足

  • -認証済みユーザーが攻撃可能なため、信頼できないユーザーがアクセス可能な環境では早急な対応が必要です
CVETermixコマンドインジェクションSSHファイルマネージャー

概要

Termixは、SSHターミナル・トンネリング・ファイル編集機能を持つWebベースのサーバー管理プラットフォームです。バージョン2.3.2未満において、GET /ssh/file_manager/ssh/resolvePath エンドポイントにOSコマンドインジェクション脆弱性(CWE-78)が存在します。

ダブルクォートエスケープを使用したシェルコマンド構築では $(...) やバッククォートによるコマンド置換を防ぐことができず、アクティブなファイルマネージャーSSHセッションを持つ認証済みユーザーが接続先リモートホスト上で任意のコマンドを実行できます。

CVSSベクトル

属性
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredLow
User InteractionNone
ScopeChanged
ConfidentialityHigh
IntegrityHigh
AvailabilityHigh
CVSSスコア9.9 (CRITICAL)

影響を受けるソフトウェア

製品影響バージョン修正バージョン
Termix2.3.2未満2.3.2

修正バージョンと回避策

  • Termix v2.3.2 以降へアップデートする
  • アップデートが困難な場合はTermixのファイルマネージャー機能へのアクセスを制限する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-45746Termix ブロークンアクセスコントロール(CVSS 9.0)CVSS 9

参考リンク

GHSA:https://github.com/Termix-SSH/Termix/security/advisories/GHSA-37f4-wq95-pg33
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-45744
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。