【高】CVE-2026-28201 lfnovo open-notebookの不適切入力検証とCORS設定によるデータ改ざん脆弱性対策ガイド AI Security実践向け

結論

• 危険度: High (CVSS 7.8)
• 対象: open-notebook (1.8.3未満)
• 修正: ベンダーアドバイザリ参照
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-05-12 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	5分
STEP 2	急ぎ対応すべきか判断する	3分
STEP 3	自分の環境が対象か確認する	5分
STEP 4	修正を適用する	環境による
STEP 5	修正されたことを確認する	3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-28201はopen-notebook 1.8.1にある脆弱性です。攻撃者は特別に作ったURLを使い、正規ユーザーを騙して任意のデータベース内容を削除・変更できます。LLMゲートウェイ運用者やノートブックサーバ管理者にとって最優先で対応が必要です。

やさしく説明すると

想像してください。あなたのサービスのデータベースは、「玄関の鍵」が一部開いていて不正に操作できる状態です。この脆弱性は、攻撃者が悪意のあるリンクを送ることで、正規のユーザーがクリックした際にその鍵を使って勝手に中身を書き換えられます。しかも、外部からのデータの盗み出しも起きる可能性があります。AI駆動開発やLLMを使う環境でこれは非常に危険です。

技術的な原因

open-notebookのAPIエンドポイント /api/notebooks は、入力検証の不備（CWE-20：不適切な入力検証）と、過剰に許可されたCORS（クロスオリジンリソース共有）設定（CWE-352：クロスサイトリクエストフォージェリの脆弱性）によりリスクがあります。特にGETリクエストのクエリパラメータ order_by に悪意あるSQL風文を注入（CWE-89：SQLインジェクション相当）されます。つまり、外部から自由にデータベース命令を挿入され、データの改変や削除を引き起こせます。

影響を受けると何が困るか

• APIキー（OpenAIやAnthropic等）の漏洩や不正利用のリスク増加
• LLMコンテキスト情報に含む顧客データが盗まれる恐れ
• プロンプトインジェクションを介したAgentフレームワークの乗っ取りリスク
• RAG（検索強化生成）用データの改ざんや消失による誤応答問題
• 請求コストの急増やリソースの枯渇を招く可能性
• テナント間での情報漏洩が発生しうる
• 運用中のインフラ全体に影響が及ぶ横展開リスク
• AIコーディングツール(Copilot, Cursorなど)利用環境でのデータ消失やコード生成不整合が発生
• .envファイルや認証情報の漏洩による更なる侵害の恐れ

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
Linux	Red Hat CVE	英	Red Hat製品（RHEL/CentOS Stream/Rocky/AlmaLinux系）の影響評価とパッチ状況。	開く
Linux	Ubuntu Security	英	Ubuntu の影響評価。各Ubuntuバージョン（22.04/24.04等）でのパッチ提供状況が一目で分かる。	開く
Linux	Debian Security Tracker	英	Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディスト利用者向け。	開く
Linux	SUSE CVE	英	SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	Packet Storm Security	英	セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 高

判断根拠

• CVSSスコアは7.8のHigh。ネットワークからではなくローカル権限相当から攻撃可能だが、認証不要なのでリスクは高い。
• EPSSスコアは0.05%と低め。直近30日での悪用予測は低いが、将来的な悪用に注意。
• ランサムウェアによる悪用は現時点で報告なし。
• 公開PoCやExploitは未確認で、広く武器化されていない。
• 悪用にはユーザーが誘導されたURLをクリックするユーザ操作が必要。だが脆弱なCORS設定により情報窃取も可能。

誰が動くべきか

• open-notebookを使用しLLMやノートブックサーバを運用している開発者・運用者
• AgentフレームワークやRAGパイプラインの運用者
• バイブコーダー開発者でCursorやCline等と連携している人
• AI GatewayやLLM Proxyを本番投入しているSREやSecOpsチーム

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
lfnovo / open-notebook	< 1.8.3	1.8.3

バージョン確認コマンド

Python (pip)

pip show open-notebook

出力例:

Name: open-notebook
Version: 1.8.2
Summary: Open Notebook LLM frontend

判定: Versionが1.8.3未満なら脆弱

Python (pip)で一覧確認

pip list | grep open-notebook

出力例:

open-notebook 1.8.1

判定: 1.8.3未満なら脆弱

設定確認

この脆弱性はCORS設定がデフォルトで過剰に許可されている点が影響しています。しかし、設定変更のみで完全に防げる保証はありません。バージョンが1.8.3未満なら脆弱です。

Nucleiテンプレートでの検出

現時点で公開されたNucleiテンプレートは存在しません。バージョン確認を行ってください。

STEP 4: 修正を適用する

パッチ適用

Python (pip)

pip install --upgrade open-notebook

出力例:

Successfully installed open-notebook-1.8.3

判定: バージョンが1.8.3以上なら安全

注意: パッチ適用前に必ず現行環境のバックアップを取ってください。ステージング環境での動作検証も必須です。ダウンタイム計画を立ててから本番環境に適用してください。

パッチ即時適用ができない場合の暫定対応

ベンダーの公式アドバイザリでは暫定対応の提示がありません。どうしてもアップグレードできない場合は、運用面で悪用を防ぐために以下を検討ください。

• 悪意あるドメインからのアクセス制限
• CORS設定の厳格化
• 管理APIや重要エンドポイントへのアクセス制御強化
• 不審なアクセスの監視強化

STEP 5: 修正されたことを確認する

STEP 3で使ったバージョン確認コマンドを再度実行して、適用確認を行ってください。

期待される出力

Python (pip)

pip show open-notebook

出力例:

Name: open-notebook
Version: 1.8.3
Summary: Open Notebook LLM frontend

判定: バージョンが 1.8.3 以上ならOK

追加で確認すべきこと

公開Nucleiテンプレートが現時点で無いため、ログ監視で不審なアクセスが無いか定期的にチェックしてください。特にURLパラメータからの攻撃兆候を注意深く確認しましょう。

補足: 悪用観測状況

現時点でCISA KEVには登録されているものの、ランサムウェアや実環境での悪用は未報告です。公開PoCもありません。攻撃の複雑度は低いため将来の悪用が予想される一方で、ユーザー操作が必要であり慎重な監視が求められます。

補足: CVSSメトリクス詳細

• 攻撃元 (AV): LOCAL（攻撃者はシステムに近い範囲からの操作が必要）
• 攻撃複雑度 (AC): LOW（攻撃の実行は比較的簡単）
• 必要権限 (PR): NONE（認証や特別な権限は不要）
• ユーザ操作 (UI): REQUIRED（ユーザーが誘導されURLをクリックする必要あり）
• スコープ (S): UNCHANGED（攻撃の影響範囲は本来の範囲内）
• 機密性影響 (C): HIGH（重要データの漏洩が生じる）
• 完全性影響 (I): HIGH（データの改ざんや削除が可能）
• 可用性影響 (A): HIGH（サービス停止や機能障害が発生）

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3で環境のバージョンを確認し、対象ならSTEP 4で必ず1.8.3以上にアップグレードしてください。パッチ適用後はSTEP 5で再確認を行います。

Q. パッチが適用できない場合、どうすればよいですか？

A. STEP 4の暫定対応としてCORS設定の見直しやネットワークアクセス制限を実施し、ユーザー誘導リスクを減らす運用を検討してください。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. 公式アドバイザリには攻撃の特定方法は記載されていません。ログで不審な外部リクエストや特殊なURLアクセス、意図しないデータベースの変更記録を監視してください。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは脆弱性の理論的な深刻度を示しますが、EPSSは実際に悪用される可能性の確率を示します。両方を確認することで対応の優先度をより正確に判断できます。

Q. このCVEと類似の脆弱性は他にもありますか？

A. CWE-20（不適切な入力検証）やCWE-352（CSRF）、CWE-89（SQLインジェクション）に類する脆弱性は多くのLLM/Agentic関連製品でも発見されています。バージョン管理と入力検証強化が普遍的対策です。

参考文献

• open-notebookベンダー公式アドバイザリ
• NVD詳細情報
• GitHub Advisory Database
• OpenCVE CVE-2026-28201

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• High脆弱性 に関するCVE・脆弱性記事一覧
• open-notebook に関するCVE・脆弱性記事一覧
• CSRF に関するCVE・脆弱性記事一覧
• cors-misconfig に関するCVE・脆弱性記事一覧

2026-05-13 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 0日）。

項目	公開時点	2026-05-13時点	変化の意味
CWE追加	CWE-20, CWE-352, CWE-89	CWE-20, CWE-352, CWE-917	新規CWE: CWE-917
結論ボックスの修正バージョンが未記入	ベンダーアドバイザリ参照	1.8.3 以降が修正版（affected範囲外）	公開時は修正版情報が結論ボックスにテンプレ文字列のまま残っていた。現在は具体的な修正版が判明（記事生成時の凡ミス補正）

CWE追加: CWE-917 の反映

当初、本脆弱性記事では「CWE-20, CWE-352, CWE-89」の3種のみCWEカテゴリが掲載されていましたが、最新の分析に基づき「CWE-917」も新たに追加されました。これは「CWE-917: 不適切な入力経由のコマンド実行」に該当し、攻撃者によるSurrealQLやデータベースコマンドの任意注入リスクをより厳密に表現するものです。技術的な背景として、GETパラメータがアプリケーションのコマンド解釈ロジックにそのまま渡されていた点が、従来のSQLインジェクション相当（CWE-89）だけでなくデータベース別のコマンドインジェクション問題（CWE-917）とも評価された形です。管理者は今まで以上に、API入力値の厳格なバリデーションと、コマンドレベルでのサニタイズを意識した運用が推奨されます。

結論ボックスの修正版表記の具体化

記事公開直後は、結論ボックス内に「修正: ベンダーアドバイザリ参照」とのみ記載されており、読者が直接修正版バージョンを参照しにくい状態でしたが、最新時点で「1.8.3 以降が修正版（affected範囲外）」と明確なバージョン表記へ更新されました。これにより、管理者や運用担当者は該当脆弱性の修正済み状態を迅速かつ確実に確認しやすくなります。特に緊急対応が求められる環境では、該当バージョンへの早期アップグレードが強く推奨されます。凡ミスによる情報の曖昧さが是正されたことで、正しい対策判断の後押しとなるはずです。

2026-05-20 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-05-20時点	変化の意味
結論ボックスの修正バージョンが未記入	ベンダーアドバイザリ参照	1.8.3 以降が修正版（affected範囲外）	公開時は修正版情報が結論ボックスにテンプレ文字列のまま残っていた。現在は具体的な修正版が判明（記事生成時の凡ミス補正）

結論ボックスの修正バージョンが未記入

公開時点では、結論ボックス内の「修正」欄が「ベンダーアドバイザリ参照」というテンプレート表記のままで、具体的な修正バージョンが明示されていませんでした。その後、情報が整理され、「1.8.3 以降が修正版（affected範囲外）」と、はっきりと修正版バージョンが記載されるように修正されました。これは記事生成時によく見られる凡ミスの是正であり、利用者が具体的なバージョン番号を一目で確認できるようになっています。

この修正により、どのバージョンまでが脆弱性の影響範囲となるのか、そして安全なバージョンがどこからかが明瞭になりました。Open Notebookを運用中の管理者や利用者は、速やかにバージョン「1.8.3」以上へアップグレードすることが安全確保のうえで推奨されます。今後も公式アドバイザリの内容が正確に記事に反映されているか確認し、アップデート方針策定の参考にしてください。

2026-05-27 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-05-27時点	変化の意味
結論ボックスの修正バージョンが未記入	ベンダーアドバイザリ参照	1.8.3 以降が修正版（affected範囲外）	公開時は修正版情報が結論ボックスにテンプレ文字列のまま残っていた。現在は具体的な修正版が判明（記事生成時の凡ミス補正）

結論ボックスの修正バージョンが未記入

記事公開時、結論ボックスに記載されていた修正版情報は「ベンダーアドバイザリ参照」となっており、実際の修正済みバージョンが明記されていませんでした。しかし、現在は「1.8.3 以降が修正版（affected範囲外）」と、具体的なバージョン情報が追記・修正されています。これは記事作成時のテンプレート対応のまま誤って公開されたもので、後から正しい情報に補正されたものです。

この修正により、システム管理者や運用者は脆弱性対応のためにどのバージョンへアップグレードすればよいか明確になりました。open-notebook をご利用の場合は、必ず「1.8.3」以降にアップグレードしていることを確認してください。ベンダーアドバイザリの内容と合わせて、修正版バージョンを明確に把握することが安全確保の第一歩となります。

2026-06-03 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-06-03時点	変化の意味
結論ボックスの修正バージョンが未記入	ベンダーアドバイザリ参照	1.8.3 以降が修正版（affected範囲外）	公開時は修正版情報が結論ボックスにテンプレ文字列のまま残っていた。現在は具体的な修正版が判明（記事生成時の凡ミス補正）

結論ボックスの修正バージョンが未記入

公開初期の記事では、結論ボックス内の「修正」項目が「ベンダーアドバイザリ参照」となっており、具体的な修正版バージョンが明記されていませんでした。今回の更新により「1.8.3 以降が修正版（affected範囲外）」と明確に記載されるようになりました。これは公開時にテンプレートのまま残っていたためで、後から正しいバージョン情報が反映された形です。

利用者は1.8.2以下のopen-notebookを使用している場合、速やかに1.8.3へのアップグレードを実施してください。今後も脆弱性管理記事を参照する際は、修正バージョンの具体的な記載有無を必ずご確認ください。

2026-06-10 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-06-10時点	変化の意味
結論ボックスの修正バージョンが未記入	ベンダーアドバイザリ参照	1.8.3 以降が修正版（affected範囲外）	公開時は修正版情報が結論ボックスにテンプレ文字列のまま残っていた。現在は具体的な修正版が判明（記事生成時の凡ミス補正）

結論ボックスの修正バージョンが未記入

記事公開当初、結論ボックスには「ベンダーアドバイザリ参照」とのみ記載されており、明確な修正版バージョンが記載されていませんでした。その後、公式アドバイザリの内容が明確となり、「1.8.3 以降が修正版（affected範囲外）」と具体的なバージョンが追記されました。これは、公開時点で修正版の情報が不明確なままテンプレート内容が残っていたことによるもので、記事内容が正確になるよう補正されたものです。

この修正により、運用担当者はどのバージョンまでアップグレードすれば脆弱性が解消されるのかを明確に把握できるようになりました。アドバイザリでも「Fixed in v1.8.3. Upgrade immediately.」と明言されており、旧バージョン（1.8.2以前）は引き続き危険な状態です。該当する導入環境では、早急な1.8.3以上へのアップデートを改めて強く推奨します。

2026-06-17 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-06-17時点	変化の意味
結論ボックスの修正バージョンが未記入	ベンダーアドバイザリ参照	1.8.3 以降が修正版（affected範囲外）	公開時は修正版情報が結論ボックスにテンプレ文字列のまま残っていた。現在は具体的な修正版が判明（記事生成時の凡ミス補正）

結論ボックスの修正バージョンが未記入

記事公開時点では、結論ボックスの「修正」欄が「ベンダーアドバイザリ参照」となっており、実際の修正済みバージョン番号が未記入のまま掲載されていました。今回、正しい修正版が「1.8.3 以降が修正版（affected範囲外）」と明記され、情報が具体化された形となります。

この修正により、管理者や運用担当者が「どのバージョンへアップグレードすれば脆弱性の影響を避けられるか」が明確になりました。現在脆弱性対応を検討中の場合、必ずopen-notebookを1.8.3以上へバージョンアップしてください。運用環境で該当バージョンより古い場合は、早急なアップグレードが推奨されます。