| タイトル | Light Code LabsのCaddyにおける複数の脆弱性 |
|---|---|
| 概要 | CaddyはデフォルトでTLSを使用する拡張可能なサーバープラットフォームです。バージョン2.7.0から2.11.3までの間、modules/caddyhttp/reverseproxy/fastcgi/fastcgi.goのFastCGIトランスポートのsplitPos()関数が、リクエストパスに非ASCIIバイトが含まれている場合にgolang.org/x/text/searchのsearch.IgnoreCaseを誤用していました。そのフォールバックにおける2つの異なる欠陥により、攻撃者はCaddyのFastCGI分割処理を誤誘導し、.php(またはその他設定されたsplit_path拡張子)でないファイルをスクリプトとして扱わせることが可能になります。攻撃者がFastCGI経由で提供されるファイルにコンテンツを配置できる環境(アップロードやファイルストレージなど)では、この脆弱性によって、いずれかの欠陥を引き起こすパスのURLを作成することでリモートコード実行を引き起こす可能性があります。この脆弱性はバージョン2.11.3で修正されました。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月23日0:00 |
| 登録日 | 2026年6月29日11:17 |
| 最終更新日 | 2026年6月29日11:17 |
| CVSS3.0 : 重要 | |
| スコア | 8.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Light Code Labs |
| Caddy 2.7.0 以上 2.11.3 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月29日] 掲載 |
2026年6月29日11:17 |
| 概要 | Caddy is an extensible server platform that uses TLS by default. From 2.7.0 until 2.11.3, the FastCGI transport's splitPos() in modules/caddyhttp/reverseproxy/fastcgi/fastcgi.go misuses golang.org/x/text/search with search.IgnoreCase when the request path contains a non-ASCII byte. Two distinct flaws in that fallback let an attacker mislead Caddy's FastCGI splitting into treating a non-.php (or other configured split_path extension) file as a script. In any deployment where the attacker can place content into a file served via FastCGI (uploads, file storage, etc.), this can be escalated to remote code execution by crafting a URL whose path triggers either flaw. This vulnerability is fixed in 2.11.3. |
|---|---|
| 公表日 | 2026年6月24日3:17 |
| 登録日 | 2026年6月27日4:14 |
| 最終更新日 | 2026年6月27日3:04 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:caddyserver:caddy:*:*:*:*:*:*:*:* | 2.7.0 | 2.11.3 | |||