つみかさね

CVE-2026-49980

Critical(9.8)

CVE-2026-49980 — Rclone: rclone rcdの未認証コマンド実行(CVE-2026-41179修正バイパス)

公開日: 2026-06-18データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Rclonerclone.org< 1.74.3

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1rclone rcd を使用しているサーバーを特定する
  2. 2Rclone v1.74.3 以降へアップデートする
  3. 3アップデートが困難な場合はネットワークレベルで rcd ポートへのアクセスを制限する

影響対象

rclone rcd利用者

補足

  • -CVE-2026-41179のパッチ適用済みでも本脆弱性の影響を受けます。必ず最新版への更新が必要です。
CVERcloneRCE認証バイパスGo

概要

rclone rcd --rc-serve でリモートデーモンを外部公開している場合、インライン remote 実体化の仕組みを悪用することで、認証なしにホスト上でコマンドを実行できます。

本脆弱性は CVE-2026-41179 への修正を回避する新たな経路です。CVE-2026-41179 のパッチを適用済みの環境でも、本脆弱性の影響を受ける可能性があります。Rclone はファイル同期・クラウドストレージ管理ツールとして広く利用されており、自動化スクリプトや CI/CD パイプラインで rclone rcd を使っているケースでの影響が懸念されます。

CVSSベクトル

項目
攻撃経路(AV)Network
攻撃複雑度(AC)Low
必要権限(PR)None
ユーザー関与(UI)None
スコープ(S)Unchanged
機密性(C)High
完全性(I)High
可用性(A)High
CVSS スコア(推定)9.8

影響を受けるソフトウェア

製品ベンダー影響バージョン
Rclonerclone.orgv1.74.3 未満

影響条件: rclone rcd --rc-serve フラグを使ってデーモンを起動し、ネットワークからアクセス可能な状態にしている場合。

修正バージョンと回避策

修正バージョン: Rclone v1.74.3 以降

推奨対応:

  1. Rclone v1.74.3 以降へアップデートする
  2. rclone rcd を使用している場合は、ファイアウォールで rcd のポート(デフォルト 5572)をローカルホストからのアクセスのみに制限する
  3. --rc-no-auth オプションを使用している場合は無効化する

関連リンク

データソース: GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-41179Rclone rcd 認証バイパス(本CVEで修正が回避された前回修正)CVSS 9.8

参考リンク

GHSA:https://github.com/rclone/rclone/security/advisories/GHSA-qw24-gh76-8rvv
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。