MENU

CVE-2026-56399 Open WebUIの認証済みSSRF脆弱性が明らかに AI SecurityとLLM Proxy運用者向け緊急対策ガイド

  • URLをコピーしました!

AI Security速報をXで配信しています!!

AI/LLM関連の脆弱性、PoC、KEV追加などの更新情報を見逃したくない方は、Xをフォローしてねー!

Xでフォローする

本記事は公開時点の情報をもとにした速報記事です。内容が更新される場合があるため、必要に応じてベンダー公式情報や一次情報もあわせて確認してください。

目次

結論

  • 危険度: Medium (CVSS 5)
  • 対象: (詳細はベンダーアドバイザリ参照)
  • 修正: ベンダーアドバイザリ参照
  • KEV: No (NVD Critical由来。CISA KEVには未登録)
タイトルの緊急度プレフィックス(【至急】【最重大】等)の意味
表記 条件 意味 対応目安
【至急/ランサム悪用】 CISA KEV登録 + ランサムウェア悪用観測 ランサムグループが現在進行形で悪用 本日中に対応開始
【至急/重大】 CISA KEV登録 + CVSS 9.0以上 実世界で攻撃観測あり + スコア極めて高い 本日中に対応開始
【重大/KEV登録】 CISA KEV登録(CVSS低またはNVD未反映) 実世界で攻撃観測あり 数日以内
【最重大】 CVSS 9.5以上(KEV未登録) 理論上の危険度ほぼ満点、攻撃観測はまだない 1週間以内に対応計画
【重大】 CVSS 9.0〜9.4(KEV未登録) Critical帯の理論的高リスク 1〜2週間以内
【高】 CVSS 7.0〜8.9(KEV未登録) High帯のリスク 計画的に対応
(プレフィックスなし) CVSS 7.0未満 Medium以下のリスク 通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-07-01 | 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP やること かかる目安
STEP 1 何が起きているか理解する 3分
STEP 2 急ぎ対応すべきか判断する 3分
STEP 3 自分の環境が対象か確認する 5分
STEP 4 修正を適用する 10分〜環境による
STEP 5 修正されたことを確認する 3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-56399はOpen WebUIの一部バージョンで、認証されたユーザーがSSRF(サーバサイドリクエストフォージェリ)防御を回避し、内部サービスへ不正アクセスやインスタンスの秘密情報を悪用してコマンド実行ができてしまう脆弱性です。LLMゲートウェイやAI関連アプリケーション運用者にとって緊急性は中程度ですが、放置は危険です。

やさしく説明すると

たとえば、Webアプリの玄関にきちんと鍵がかかっているはずが、特定のルールを使うとその鍵を回避できるとします。攻撃者はその抜け穴を使って、建物の中に勝手に入り込めます。この場合は「/api/v1/retrieval/process/web」という場所が玄関で、認証を通ったユーザーが悪用できます。中に入ると内部の大事な情報や秘密の鍵を使ってさらに悪さができる可能性があります。

技術的な原因

この脆弱性はCWE-918(サーバサイドリクエストフォージェリ)に分類されます。サーバサイドリクエストフォージェリは、サーバーが意図しない外部や内部のURLにアクセスさせられる攻撃です。今回のケースでは認証ユーザーがURLパラメータを操作し、リダイレクトヘッダを悪用することで本来防御されている内部ネットワークや管理用サービスへのアクセスを可能にしています。これによりスコープチェンジ(権限範囲の拡大)が発生します。

影響を受けると何が困るか

  • 内部APIや管理用エンドポイントへの不正アクセスでAPIキーやインスタンスの秘密が漏洩するリスク
  • LLMゲートウェイやAgentフレームワークの機密コンテキストが盗まれ、顧客データを含む情報漏洩
  • インスタンスの秘密情報を利用した悪意あるコマンド実行でエージェント乗っ取りの可能性
  • AI駆動開発環境全体へ権限昇格や横展開が発生しうる
  • バイブコーダー利用環境であっても、IDEやローカル統合AIツール経由の不正利用リスクが懸念される

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ 情報源 言語 何が分かるか リンク
総合 NVD(米国 NIST) 米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。 開く
総合 MITRE CVE CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。 開く
総合 JVN iPedia(JPCERT/CC・IPA) 日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。 開く
総合 CISA KEV(悪用観測カタログ) 米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。 開く
総合 GitHub Advisory Database OSSパッケージ(npm/pypi/maven/composer/go等)別の脆弱性アドバイザリ。修正PRへのリンクが豊富。 開く
総合 OpenCVE 複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。 開く
Linux Red Hat CVE Red Hat製品(RHEL/CentOS Stream/Rocky/AlmaLinux系)の影響評価とパッチ状況。 開く
Linux Ubuntu Security Ubuntu の影響評価。各Ubuntuバージョン(22.04/24.04等)でのパッチ提供状況が一目で分かる。 開く
Linux Debian Security Tracker Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディストリ利用者向け。 開く
Linux SUSE CVE SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。 開く
悪用 Exploit Database 公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。 開く
悪用 Packet Storm Security セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。 開く
悪用 GitHub PoC 検索 GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。 開く
悪用 X(Twitter)検索 日英 直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。 開く
スキャナ Snyk Vulnerability DB パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。 開く
スキャナ Tenable(Nessus) Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。 開く
スキャナ Rapid7(Metasploit/Nexpose) Metasploit悪用モジュール、Nexposeでの検出情報。 開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります(特にJVN iPediaは日本国内で報告された脆弱性のみ掲載)。

STEP 2: 急ぎ対応すべきか判断する

結論: 中

判断根拠

  • CVSS v3.1 スコアは 5.0 (Medium)。攻撃はネットワーク経由で複雑度は低く、認証要はあるもののユーザ操作は不要です。実務的には通常メンテナンスでの対応で十分な中程度のリスクです。
  • EPSS(悪用予測スコア)は提供されていません。
  • ランサムウェアへの悪用観測は今のところありません(Unknown)。
  • GitHub等での公開PoCや武器化コードは確認されていません。
  • 攻撃に必要なのは「低権限の認証ユーザー」であるため、攻撃範囲は限定的です。
  • デフォルト設定で有効な保護を認証ユーザーが回避できる点は注意が必要です。

誰が動くべきか

  • LLM Gateway運用チーム(特にOpen WebUI利用者)
  • Agentフレームワーク開発者(LangChain、AutoGenなど連携サービス)
  • RAGパイプラインやAPIゲートウェイの保守チーム
  • バイブコーダー開発者(Cursor、Cline、Aider、GitHub Copilot、Claude Code利用者も注意)
  • AI駆動開発環境のSREやセキュリティオペレーションチーム

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品 脆弱なバージョン範囲 修正版
Open WebUI 0.6.27 未満 0.6.27 以降

バージョン確認コマンド

Linux / Python環境(pip)

pip show open-webui

出力例:

Name: open-webui
Version: 0.6.25
Summary: Open WebUI - AI LLM management console
...

判定: Version0.6.27未満なら脆弱。0.6.27以上なら安全。

Linux / Python環境(pip list)

pip list | grep open-webui

出力例:

open-webui          0.6.25

判定: 0.6.27未満なら脆弱。

設定確認

この脆弱性は特定の設定依存はなく、バージョンが対象範囲内であれば脆弱です。認証ユーザーがアクセス可能な状態が前提ですので、認証設定やアクセス制御を再点検してください。

Nucleiテンプレートでの検出

現在、このCVEに対応する公開Nucleiテンプレートは提供されていません。検出はベンダー提供の検査ツールやバージョン確認で対応してください。

STEP 4: 修正を適用する

パッチ適用

Python環境(pip)

pip install --upgrade open-webui

出力例:

Collecting open-webui
  Downloading open_webui-0.6.27-py3-none-any.whl (1.2 MB)
Installing collected packages: open-webui
Successfully installed open-webui-0.6.27

判定: バージョンが0.6.27以上なら安全です。

注意: パッチ適用前に必ず本番環境のバックアップを取得してください。アップグレードはステージング環境で事前検証し、ダウンタイム計画を立ててから実施することを推奨します。

パッチ即時適用ができない場合の暫定対応

現時点で公式の暫定対応策は提示されていません。認証ユーザーの権限管理を強化し、アクセス制御やネットワーク分離でリスクを低減してください。WAFやIPSが利用可能ならリクエスト内容の監視ルール追加を検討ください。

STEP 5: 修正されたことを確認する

STEP 3 で実行したバージョン確認コマンドを再度実行してください。バージョンが安全なものになっているかを必ず確認します。

期待される出力

Linux / Python環境(pip)

pip show open-webui

出力例:

Name: open-webui
Version: 0.6.27
Summary: Open WebUI - AI LLM management console
...

判定: 「Version」が0.6.27以上なら修正済みで安全です。

Linux / Python環境(pip list)

pip list | grep open-webui

出力例:

open-webui          0.6.27

判定: 0.6.27以上なら安全。

追加で確認すべきこと

パッチ適用後は、異常なアクセスログやエラー、認証異常を監視ください。公開Nucleiテンプレートはありませんが、ベンダーやコミュニティによる検査ツールが提供される可能性があるため、最新情報を引き続き追跡してください。

補足: 悪用観測状況

現時点でCISA KEVカタログには未登録で、ランサムウェアグループによる悪用は確認されていません。またGitHubや公開エクスプロイトデータベースにPoCコードや悪用ツールはありません。従って、現状は実証的な悪用は見られない中リスクですが、将来的な悪用に備えた監視と迅速な対応が望まれます。

補足: CVSSメトリクス詳細

  • AV (Attack Vector 攻撃元): Network(リモートから攻撃可能)
  • AC (Attack Complexity 攻撃複雑度): Low(比較的簡単に攻撃可能)
  • PR (Privileges Required 必要権限): Low(低権限ユーザーで攻撃可能)
  • UI (User Interaction ユーザー操作): None(攻撃にユーザー操作不要)
  • S (Scope スコープ): Changed(攻撃成功で権限が拡大)
  • C (Confidentiality 機密性への影響): Low(一部の情報が漏れる可能性)
  • I (Integrity 完全性への影響): None(データ改ざんの可能性なし)
  • A (Availability 可用性への影響): None(サービス停止の可能性なし)

よくある質問(FAQ)

Q. このCVEに対応するために最低限すべきことは何ですか?

A. まずSTEP 3の対象バージョン確認を実施し、脆弱ならSTEP 4のパッチ適用を計画してください。アップデート後にSTEP 5の動作確認を必ず行いましょう。

Q. パッチが適用できない場合、どうすればよいですか?

A. 認証ユーザーのアクセス制御強化やネットワーク分離でリスクを減らしてください。WAFルール追加も検討します。公式からの暫定対応は現時点で提示されていません。

Q. 既に攻撃を受けているか確認する方法はありますか?

A. 現状で具体的なIOCは未公開ですが、不審な内部サービスへのアクセスログやシークレット利用の痕跡を監視してください。APIログの詳細分析も有効です。

Q. なぜEPSSスコアが重要なのですか?

A. CVSSは脆弱性の技術的な深刻度を示しますが、EPSSは実際に悪用される可能性を数字で示します。両方を見ることで優先的に対応すべき脆弱性を正確に判断できます。

Q. このCVEと類似の脆弱性は他にもありますか?

A. CWE-918に分類されるSSRFはAIゲートウェイやAPIを扱う環境で頻出の脆弱性です。過去にも複数報告があり、定期的な対策が必要です。

参考文献

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

AI Security速報を継続配信しています!!

AI/LLM関連の脆弱性、PoC、KEV追加、海外アドバイザリなどを X で配信してるので、ぜひフォローをお願いします!

@ai_sec_news_256 をフォロー

この記事が気に入ったら
フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次