製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Tenable, Inc.のTerrascanにおけるサーバサイドのリクエストフォージェリの脆弱性

タイトル	Tenable, Inc.のTerrascanにおけるサーバサイドのリクエストフォージェリの脆弱性
概要	Terrascan v1.18.3 およびそれ以前のバージョンは、サーバーモードで実行されている場合、ファイルスキャンエンドポイント（POST /v1/{iac}/{iacVersion}/{cloud}/local/file/scan）の webhook_url パラメータを介してサーバーサイドリクエストフォージェリ（SSRF）の脆弱性があります。認証されていないリモート攻撃者は、webhook_url のマルチパートフォームパラメータとして任意のURLを指定できます。アップロードされたファイルのスキャン後、Terrascan はスキャン結果を JSON ボディとして含む HTTP POST リクエストを攻撃者が制御するURLに送信し、攻撃者が提供した webhook_token を認証ヘッダーの Bearer トークンとして転送します。再試行可能な HTTP クライアントは失敗時に最大10回まで再試行します。この脆弱性は、認証なしで0.0.0.0にバインドするサーバーモード（terrascan server）で動作しているデプロイメントに影響を与えます。なお、Terrascan は2023年8月にアーカイブされており、パッチはリリースされません。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
対策	参考情報を参照して適切な対策を実施してください。
公表日	2026年5月19日0:00
登録日	2026年5月22日10:58
最終更新日	2026年5月22日10:58

CVSS3.0 : 重要
スコア	8.6
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

影響を受けるシステム

Tenable, Inc.

Terrascan 1.18.3 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-47356	https://www.cve.org/CVERecord?id=CVE-2026-47356
National Vulnerability Database (NVD)
2	CVE-2026-47356	https://nvd.nist.gov/vuln/detail/CVE-2026-47356

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-918	https://cwe.mitre.org/data/definitions/918.html

その他

No	名前	URL
関連文書
1	GitHub - tenable/terrascan: Detect compliance and security violations across Infrastructure as Code to mitigate risk before provisioning cloud native infrastructure. GitHub	https://github.com/tenable/terrascan

変更履歴

No	変更内容	変更日
1	[2026年05月22日] 掲載	2026年5月22日10:58

NVD脆弱性情報

CVE-2026-47356

概要	Terrascan v1.18.3 and prior are vulnerable to Server-Side Request Forgery (SSRF) via the webhook_url parameter in the file scan endpoint (POST /v1/{iac}/{iacVersion}/{cloud}/local/file/scan) when running in server mode. An unauthenticated remote attacker can supply an arbitrary URL as the webhook_url multipart form parameter. After scanning the uploaded file, Terrascan sends an HTTP POST request to the attacker-controlled URL containing the full scan results as a JSON body, with the attacker-supplied webhook_token forwarded as a Bearer token in the Authorization header. The retryable HTTP client retries up to 10 times on failure. This affects deployments running terrascan in server mode (terrascan server), which binds to 0.0.0.0 with no authentication. Note: Terrascan was archived in August 2023 and no patch will be released.
公表日	2026年5月20日2:16
登録日	2026年5月20日4:13
最終更新日	2026年5月20日23:23

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:tenable:terrascan::::::::			1.18.3

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/tenable/terrascan	vulnreport@tenable.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-918	サーバサイドリクエストフォージェリ	https://cwe.mitre.org/data/definitions/918.html