internet routing registry daemon projectのinternet routing registry daemonにおける複数の脆弱性
| Title |
internet routing registry daemon projectのinternet routing registry daemonにおける複数の脆弱性
|
| Summary |
Internet Routing Registryデーモンバージョン4は、RPSL形式のIRRオブジェクトを処理するIRRデータベースサーバーです。バージョン4.4.0から4.4.5未満、およびバージョン4.5.0から4.5.1未満において、攻撃者はパスワードリセットまたはアカウント作成要求のHTTP Hostヘッダーを操作できます。その結果として送信されるメール内の確認リンクは攻撃者が管理するドメインを指す可能性があります。メール内のリンクを開くだけでトークンが攻撃者に渡り、そのトークンは実際のIRRDインスタンスで使用されてアカウントを乗っ取ることが可能です。乗っ取られたアカウントは、そのアカウントのmntnersが管理するRPSLオブジェクトの変更やその他のアカウント操作に使用されます。ユーザーが二要素認証を設定している場合(上書きアクセス権を持つユーザーに必須)、攻撃者はパスワードリセットに成功してもログインできません。この問題はバージョン4.4.5および4.5.1で修正されました。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
March 6, 2026, midnight |
| Registration Date |
April 23, 2026, 10:14 a.m. |
| Last Update |
April 23, 2026, 10:14 a.m. |
|
CVSS3.0 : 重要
|
| Score |
8.1
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
Affected System
| internet routing registry daemon project |
|
internet routing registry daemon 4.4.0 以上 4.4.5 未満
|
|
internet routing registry daemon 4.5.0 以上 4.5.1 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月23日]
掲載 |
April 23, 2026, 10:14 a.m. |
NVD Vulnerability Information
CVE-2026-28681
| Summary |
Internet Routing Registry daemon version 4 is an IRR database server, processing IRR objects in the RPSL format. From version 4.4.0 to before version 4.4.5 and from version 4.5.0 to before version 4.5.1, an attacker can manipulate the HTTP Host header on a password reset or account creation request. The confirmation link in the resulting email can then point to an attacker-controlled domain. Opening the link in the email is sufficient to pass the token to the attacker, who can then use it on the real IRRD instance to take over the account. A compromised account can then be used to modify RPSL objects maintained by the account's mntners and perform other account actions. If the user had two-factor authentication configured, which is required for users with override access, an attacker is not able to log in, even after successfully resetting the password. This issue has been patched in versions 4.4.5 and 4.5.1.
|
| Summary |
Demonio de Internet Routing Registry versión 4 es un servidor de base de datos IRR, que procesa objetos IRR en formato RPSL. Desde la versión 4.4.0 hasta antes de la versión 4.4.5 y desde la versión 4.5.0 hasta antes de la versión 4.5.1, un atacante puede manipular el encabezado HTTP Host en una solicitud de restablecimiento de contraseña o creación de cuenta. El enlace de confirmación en el correo electrónico resultante puede entonces apuntar a un dominio controlado por el atacante. Abrir el enlace en el correo electrónico es suficiente para pasar el token al atacante, quien puede entonces usarlo en la instancia real de IRRD para tomar control de la cuenta. Una cuenta comprometida puede entonces ser utilizada para modificar objetos RPSL mantenidos por los mntners de la cuenta y realizar otras acciones de la cuenta. Si el usuario tenía la autenticación de dos factores configurada, lo cual es requerido para usuarios con acceso de anulación, un atacante no puede iniciar sesión, incluso después de restablecer la contraseña con éxito. Este problema ha sido parcheado en las versiones 4.4.5 y 4.5.1.
|
| Publication Date |
March 6, 2026, 2:16 p.m. |
| Registration Date |
April 27, 2026, 12:15 p.m. |
| Last Update |
April 21, 2026, 11:45 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:internet_routing_registry_daemon_project:internet_routing_registry_daemon:*:*:*:*:*:*:*:* |
4.4.0 |
|
|
4.4.5 |
| cpe:2.3:a:internet_routing_registry_daemon_project:internet_routing_registry_daemon:*:*:*:*:*:*:*:* |
4.5.0 |
|
|
4.5.1 |
Related information, measures and tools
Common Vulnerabilities List