【高】CVE-2026-28201 open-notebookのCORS設定ミスによる認証バイパス脆弱性解説とAI Securityエンジニア必読対策

結論

• 危険度: High (CVSS 7.8)
• 対象: open-notebook (1.8.3未満)
• 修正: ベンダーアドバイザリ参照
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-05-12 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	5分
STEP 2	急ぎ対応すべきか判断する	3分
STEP 3	自分の環境が対象か確認する	5分〜環境による
STEP 4	修正を適用する	10分〜
STEP 5	修正されたことを確認する	3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-28201 は open-notebook のバージョン 1.8.1 に存在する脆弱性です。攻撃者はユーザーを騙して悪意あるURLをクリックさせ、認証なしでデータベースの内容を変更・削除できます。AI Security や LLMゲートウェイ運用者には最優先の対応事項です。

やさしく説明すると

イメージとしては、open-notebook の「玄関の鍵」が正しくかかっていない状態です。誰かが合鍵を作ったように悪用し、ユーザーが操作してしまうとデータが勝手に消えたり変えられたりします。しかも、特別な操作権限も必要なく、ただURLをクリックするだけで被害が起こります。

技術的な原因

この脆弱性は CWE-20（不適切な入力検証）、CWE-352（CSRF：クロスサイトリクエストフォージェリ）、CWE-89（SQLインジェクション）に関連しています。open-notebook の API の order_by パラメータがサニタイズ（無害化）されずに直接データベースの SurrealQL クエリに埋め込まれています。そのため、遠隔の攻撃者は悪意のあるURLを作成し、被害者ユーザーにクリックさせてデータの改変や削除が可能です。また、デフォルトでCORS（クロスオリジンリソース共有）設定が緩く、データの持ち出しも可能になります。

影響を受けると何が困るか

• open-notebook 上のノートブック、ソース、メモ、チャットセッションなどのデータ改ざんや削除
• 設定によっては攻撃者がデータベースから情報を不正に持ち出せる
• AI Gateway や LLM Proxy でのデータ一貫性の喪失や不正アクセスのリスク
• プロンプトやチャット履歴に含まれる顧客データの漏洩リスク
• AI駆動開発で使うバイブコーダー連携時に誤動作や誤情報の原因となる可能性

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 高

判断根拠

• CVSS スコアは 7.8（High）で、遠隔からユーザー操作により深刻な情報漏洩や改ざんが可能
• EPSS スコアは 0.05%（低水準）で現時点での悪用予測は低い
• ランサムウェア悪用の報告はなく、公開PoCやエクスプロイトも確認されていない
• 攻撃条件はユーザーのクリック（UI:R）が必要なため自動侵入は難しいが、CSRF攻撃を利用可能
• デフォルトのCORS設定が過度に緩いため、設定によっては情報漏洩リスクが拡大

誰が動くべきか

• open-notebook を本番運用している SRE/SecOps チーム
• LLM Gateway や MCP Server 経由で open-notebook を利用している AI インフラ管理者
• Agentic フレームワークや RAGパイプラインに組み込んでいる開発者
• Cursor、Cline、Copilot など AI駆動開発ツール利用のバイブコーダー開発者

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
open-notebook	< 1.8.3	1.8.3

バージョン確認コマンド

Python (pip)

pip show open-notebook

出力例:

Name: open-notebook
Version: 1.8.2
Summary: Open Notebook AI backend server
...

判定: Versionが 1.8.3 未満なら脆弱

Python (pip list + grep)

pip list | grep open-notebook

出力例:

open-notebook          1.8.1

判定: バージョンが 1.8.3 未満なら脆弱

GitHubリポジトリタグ（手動確認）

git ls-remote --tags https://github.com/lfnovo/open-notebook.git

判定: ローカルで動かしているタグが v1.8.3 未満なら危険

設定確認

本脆弱性は order_by クエリパラメータの入力検証不足に起因し、デフォルトの CORS 設定が permissive（過度に緩い）ことも影響します。設定依存の部分は デフォルト設定を変更しない限り脆弱です。CORSポリシー変更や CSRFトークンの実装状況も確認してください。

Nucleiテンプレートでの検出

本脆弱性に対応した公開Nucleiテンプレートは提供されていません。バージョン確認と設定確認で検出してください。

STEP 4: 修正を適用する

パッチ適用

Python (pip) アップデート

pip install --upgrade open-notebook

判定: バージョンが 1.8.3 以上になれば修正済み

GitHub からの手動アップデート

git clone https://github.com/lfnovo/open-notebook.git
cd open-notebook
git checkout v1.8.3
# ビルドやデプロイの手順に従う

判定: v1.8.3 以降のコミットが導入されていれば安全

注意: アップグレード前に必ずバックアップを取得し、ステージング環境で動作検証を行ってください。ダウンタイムの影響範囲も事前に確認しましょう。

パッチ即時適用ができない場合の暫定対応

ベンダーは公式に暫定対応策を示していません。可能な場合は次の対策を検討してください。

• APIエンドポイントへのアクセス制限（IP制限、認証強化）
• CORSポリシーを厳格に設定し、必要最小限のオリジンのみ許可
• CSRF対策（トークン導入やRefererチェック）を独自に実装
• 管理画面やデータ改変機能へのアクセスを社内ネットワークに限定

STEP 5: 修正されたことを確認する

STEP 3 で実行したバージョン確認コマンドを再度実行してください。

期待される出力

Python (pip)

pip show open-notebook

出力例:

Name: open-notebook
Version: 1.8.3
Summary: Open Notebook AI backend server
...

判定: バージョンが 1.8.3 以上ならOK

Python (pip list + grep)

pip list | grep open-notebook

出力例:

open-notebook          1.8.3

判定: 安全なバージョンであることを確認

追加で確認すべきこと

• CORS設定がベンダー推奨設定になっているか
• CSRFトークンあるいは他のCSRF対策が有効かどうか
• ログに不審な改変やアクセスがないか監視を継続すること

補足: 悪用観測状況

CVE-2026-28201 に関する既知の悪用は今のところありません。GitHub上での公開PoCコードも存在せず、CISA KEVリストにも未掲載です。EPSSスコアは 0.05% と低く、直近30日間の悪用予測は非常に小さい状況です。ただし、脆弱性の性質上ユーザーを騙す攻撃（CSRF）が可能なため注意が必要です。

補足: CVSSメトリクス詳細

• AV（Attack Vector）: LOCAL – 攻撃はローカルネットワーク内のユーザー操作が必要
• AC（Attack Complexity）: LOW – 攻撃自体の難易度は低い
• PR（Privileges Required）: NONE – 特別な権限不要
• UI（User Interaction）: REQUIRED – 被害者のユーザー操作（クリックなど）を必須とする
• S（Scope）: UNCHANGED – 脆弱性の影響範囲は変更なし（同一コンポーネント内）
• C（Confidentiality Impact）: HIGH – 高度な機密情報漏洩リスク
• I（Integrity Impact）: HIGH – 高度なデータ改ざんリスク
• A（Availability Impact）: HIGH – 高い可用性への影響リスク

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3で自環境のバージョンを確認し、1.8.3未満ならSTEP 4のアップデートを必ず行ってください。修正後はSTEP 5でバージョンと設定の確認を行います。

Q. パッチが適用できない場合、どうすればよいですか？

A. STEP 4の暫定対応策を実施してください。特にCORS設定の厳格化とCSRF対策の強化、APIアクセス制限が効果的です。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. ログに不審な改変や意図しないデータ削除の痕跡を監視してください。また、不自然な外部アクセスがあれば調査を強化する必要があります。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは技術的リスクの指標ですが、EPSSは実際に悪用される可能性を示します。両方参照することで優先度判断がより正確になります。

Q. このCVEと類似の脆弱性は他にもありますか？

A. CWE-89（SQLインジェクション）やCWE-352（CSRF）に関連する脆弱性は多く存在します。特にWebベースのLLM ProxyやAI Gatewayで類似問題が報告されています。

参考文献

• ベンダー公式アドバイザリ（GitHub）
• NVD詳細情報
• GitHub Advisory Database
• CISA KEVカタログ

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• High脆弱性 に関するCVE・脆弱性記事一覧
• open-notebook に関するCVE・脆弱性記事一覧
• CSRF に関するCVE・脆弱性記事一覧
• cors-misconfig に関するCVE・脆弱性記事一覧