JVNDB-2026-004519 | |
PterodactylのPanelにおける複数の脆弱性 | |
| 概要 | |
Wingsは、Pterodactylのサーバーコントロールプレーンであり、無料でオープンソースのゲームサーバー管理パネルです。バージョン1.12.1より前では、複数のコントローラーにおける認証チェックの欠如により、ノードのシークレットトークンにアクセスできる任意のユーザーが、たとえそのサーバーが別のノードに関連付けられていても、Pterodactylインスタンス上の任意のサーバーの情報を取得することが可能でした。この問題は、サーバーデータを要求しているノードがそのサーバーに関連するノードと同じであるかを検証するロジックが欠如していることに起因しています。認証された任意のWingsノードは、他のノードに所属するサーバーのインストールスクリプト(秘密の値を含む可能性があります)を取得したり、サーバーのインストール状態を操作したりすることができます。さらに、Wingsノードは他のノードに所属するサーバーの転送状態を操作することも可能です。この脆弱性を悪用するには、ユーザーがノードのシークレットアクセストークンを入手する必要があります。有効なノードアクセストークンが必要なため、Wingsのシークレットアクセストークンにアクセスしない限り、これらの脆弱なエンドポイントにアクセスすることはできません。単一のWingsノードデーモントークン(`/etc/pterodactyl/config.yml`に平文で保存されている)が流出すると、そのノードがアクセス権を持つサーバーだけでなく、パネル上のすべてのサーバーの機密構成データにアクセスできるようになります。攻撃者はこの情報を用いてシステム内を横断的に移動したり、多数の通知を送信したり、他のノードのサーバーデータを破壊したり、ノードトークンのみでアクセスしてはならない秘密情報を漏洩させたりする可能性があります。さらに、誤った転送成功を引き起こすと、パネルは元のノードからサーバーを削除して恒久的なデータ損失を招く恐れがあります。ユーザーは修正を適用するためにバージョン1.12.1にアップグレードすべきです。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 8.1 (重要) [NVD値]
| |
| 影響を受けるシステム | |
|
| |
Pterodactyl | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 | |
| 対策 | |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
GitHub | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/02/19 |
| 登録日 | 2026/02/24 |
| 最終更新日 | 2026/02/24 |
