← 戻る
CVE-2026-38360
critical
CVSS 9.8
path-traversal に パストラバーサル (CVE-2026-38360)
概要
path-traversal に パストラバーサル (CVE-2026-38360) が存在。悪用されるとシステム全体を乗っ取られる可能性があります。
AI要約 openai / gpt-4o
fohrloopの「dash-uploader」というツールに深刻なセキュリティリスクがあります。攻撃者は、認証なしに重要なファイルへの不正アクセスを通じて、システムに悪意あるコードをインストールできる可能性があります。この脆弱性は、特に/Api/dash-uploaderという通信路が対象で、バージョン0.1.0から0.7.0a2まで影響を受けます。修正する方法がないため、他の安全なシステム、例えばPlotly Dashのddc.Uploadを使うことが推奨されています。
CVE-2026-38360は、fohrloopのdash-uploaderにおける、GETメソッドを含む未認証のパストラバーサル攻撃です。具体的には、dash_uploader/httprequesthandler.py内で、リクエストパラメータupload_id, resumableFilename, resumableIdentifierが適切にサニタイズされずにos.path.joinやos.makedirsに渡され、パス外部参照が可能になります。影響を受けるバージョンはv0.1.0からv0.7.0a2で、修正バージョンはありません。パッチがないので、使用を停止し、ddc.Uploadコンポーネントへの移行が推奨されます。
❓ 何が問題か
path-traversal に **パストラバーサル** (CWE-22) があります。
📍 影響範囲
path-traversal のうち 。
🔥 重要度
重要度: 最重要 (CVSS 9.8/10)。悪用されるとシステム全体を乗っ取られる可能性があります
🔧 修正方法
ベンダー公式アドバイザリの修正版に更新してください。
🛡️ 暫定回避
修正版が未提供時は、影響機能の無効化・WAFルール・ネットワークACLでの遮断を検討。
🔍 検知方法
Webサーバ・プロキシ・WAFログで該当CVEのIOCに合致する不審リクエストを検索。SBOM/依存ファイルで影響バージョンを横断確認。
類似する過去の事例 過去のCVE/インシデントから類似事例を抽出
DoS vulnerability in the same dash-uploader library, indicating potential for further exploits within the same ecosystem.
もし自社で起きたら 業務シナリオごとの想定影響
📌 ECサイトのシステムにdash-uploaderが組み込まれている場合
攻撃者がシステムに不正なコードを注入し、顧客データが漏えいする可能性があります。
📌 社内のファイル共有サーバーにdash-uploaderが使用されている場合
社内業務のデータが削除されたり、不正にアクセスされるリスクが高まります。
📌 公的機関のデジタルインフラにdash-uploaderが導入されている場合
機密文書や機関データに不正アクセスが可能になり、社会的混乱が引き起こされる可能性があります。
推奨アクション
直ちにdash-uploaderの使用を中止し、Plotly Dashのddc.Uploadコンポーネントへの移行を検討することを強く推奨します。
対応アクション (7段階)
SOC/SREチームが順番に実行すべき具体的なステップとコマンド例
-
1影響範囲の特定 identify
grep -r 'path-traversal' . | grep -v node_modulesリポジトリと本番環境の依存ファイル (package-lock.json / requirements.txt / go.sum / Gemfile.lock 等) で `path-traversal` を grep し、稼働しているサービス・バージョンを把握する。
-
7事後検証 verify
Confirm patched version is live in productionパッチ適用後、ステージングで PoC または同等の悪用パターンを再現して脆弱性が閉じたことを確認。本番では Step 3 と同じログクエリでアラート再発が無いか継続監視。
参照URL
- web https://github.com/a1ohadance/CVE-2026-38360
- web https://github.com/fohrloop/dash-uploader
- web https://github.com/fohrloop/dash-uploader/blob/dev/dash_uploader/httprequesthandler.py
- web https://github.com/fohrloop/dash-uploader/blob/stable/dash_uploader/httprequesthandler.py
- web https://github.com/fohrloop/dash-uploader/issues/153
- web [email protected]
- web https://nvd.nist.gov/vuln/detail/CVE-2026-38360
- web https://pypi.org/project/dash-uploader
- web https://github.com/advisories/GHSA-3rf6-x59v-5jfv