2026年06月27日の重要脆弱性: KestraのRCEやDaktronicsの複数脆弱性など4件
/ 7 min read
Table of Contents
概要
本日公開された脆弱性のうち、CVSSスコアが9.0以上の「Critical」と評価された重要脆弱性は計4件です。特に、オーケストレーションプラットフォームKestraにおいて認証バイパスによるリモートコード実行(RCE)の脆弱性が複数報告されており、早急な対応が求められます。また、Daktronics社製のコントローラーファームウェアにも高リスクの脆弱性が確認されています。
CVE-2026-53576: Kestra: 認証バイパスによる認証不要RCE
- CVSS: 10.0 (Critical)
- 影響: kestra-io / kestra — versions: < 1.0.45 (affected), >= 1.1.0, < 1.3.21 (affected)
概要
KestraのREST API認証フィルター(@Filter("/api/v1/**"))が、パスが/configsで終わるリクエストを認証チェックなしで公開インスタンス設定エンドポイントとして処理する不備がありました。この不備を悪用することで、認証されていない攻撃者がフローの作成・実行ルートにアクセスし、ShellまたはProcessタスクを含むフローを作成・実行することが可能になります。これにより、Kestraコンテナ内でroot権限によるリモートコード実行につながります。公式のdocker-compose.ymlが/var/run/docker.sockをマウントしている場合、コンテナ内のroot権限でホストのDockerデーモンにアクセスできる可能性があります。
推奨対応
この脆弱性はバージョン1.0.45および1.3.21で修正されています。該当する環境をご利用の場合は、速やかにこれらの修正済みバージョンへアップグレードしてください。詳細については、提供されている参考リンクのベンダーアドバイザリを確認してください。
参考
CVE-2026-49869: Kestra: 認証フィルターの不備による認証不要RCE
- CVSS: 10.0 (Critical)
- 影響: kestra-io / kestra — versions: < 1.0.45 (affected), >= 1.1.0, < 1.3.21 (affected)
概要
Kestra OSSのAuthenticationFilterにおいて、Basic Authから公開設定エンドポイントをホワイトリスト化する際に、request.getPath().endsWith("/configs")というメソッドを使用していました。これが正確なパスマッチではなくサフィックスマッチであったため、最後のセグメントがconfigsである任意のAPIパスが認証を完全にバイパスしてしまう脆弱性です。これにより、認証されていないリモート攻撃者が、認証情報なしに任意のワークフローを作成および実行できる可能性があります。Kestraはスクリプト実行プラグイン(plugin-script-shell、plugin-script-pythonなど)がデフォルトで有効になっているため、この脆弱性はKestraワーカーコンテナ内でroot権限での認証不要リモートコード実行に直結します。
推奨対応
この脆弱性もバージョン1.0.45および1.3.21で修正されています。影響を受けるバージョンのKestraをご利用の場合は、直ちにこれらの修正済みバージョンへ更新してください。また、ベンダーのセキュリティアドバイザリを確認し、推奨される追加対策を講じることを強く推奨します。
参考
CVE-2026-28701: Daktronicsコントローラーファームウェア: パス・トラバーサル
- CVSS: 9.3 (Critical)
- 影響: Daktronics / VFC-DMP-5000, DMP-5000, DMP-8000 — versions: 0 〜 < v8.117.x.x (affected), 0 〜 < v9.43.x.x (affected), 0 〜 < v10.34.x.x (affected)
概要
Daktronicsコントローラーファームウェアの様々なバージョンにおいて、パス・トラバーサルの脆弱性が存在します。これにより、認証済みおよび認証されていないリモートユーザーが、意図されたディレクトリから抜け出し、任意のファイルシステムパスを列挙できる可能性があります。システム上の機密情報への不正なアクセスや、さらなる攻撃への足がかりとなるリスクがあります。
推奨対応
Daktronics社から提供されるファームウェアのアップデートを適用し、脆弱性が修正されたバージョンに更新することが不可欠です。詳細な情報と修正プログラムについては、CISA ICSアドバイザリを確認し、ベンダーの指示に従ってください。
参考
CVE-2026-31928: Daktronicsコントローラーファームウェア: ハードコードされた認証情報
- CVSS: 9.3 (Critical)
- 影響: Daktronics / VFC-DMP-5000, DMP-5000, DMP-8000 — versions: 0 〜 < v8.117.x.x (affected), 0 〜 < v9.43.x.x (affected), 0 〜 < v10.34.x.x (affected)
概要
DMP-5000デバイスは、デフォルトの管理者ウェブアカウントが弱い認証制御で出荷されており、初期設定や運用中に認証情報の変更が義務付けられていない脆弱性があります。これにより、攻撃者がこれらのハードコードされた、または変更されていないデフォルト認証情報を使用することで、システム全体へのフルアクセスを取得できる可能性があります。これは、産業制御システム(ICS)環境において重大なリスクをもたらします。
推奨対応
直ちにすべてのDMP-5000デバイスのデフォルト管理者アカウントの認証情報を、推測されにくい強力なパスワードに変更してください。可能であれば、認証情報を強制的に更新する仕組みや、多要素認証の導入を検討してください。詳細な緩和策については、CISA ICSアドバイザリを参照し、ベンダーの推奨事項に従ってください。