🔥 この記事の詳細
2026-07-13 更新
C
月内に

GNU Wgetにサーバサイドリクエストフォージェリ(SSRF)の脆弱性「CVE-2026-15146」

脆弱性
🔢 CVECVE-2026-15146
📅 2026-07-13📰 secnext
📌 一言でいうと
GNU Wgetにサーバサイドリクエストフォージェリ(SSRF)の脆弱性「CVE-2026-15146」が発見されました。FTPのパッシブモードにおいて、サーバから返されるIPアドレスを適切に検証しないため、悪意あるサーバを通じて任意のIPアドレスやポートへ接続させられる恐れがあります。これにより、内部ネットワークのリソースやローカルホスト上のサービスへアクセスされる可能性があります。
🔍該当判定
  • Linuxサーバー上で『wget』コマンドを直接利用している
  • 自社開発のプログラムやスクリプト内で『wget』を呼び出して外部ファイルを自動取得している
  • FTPサーバーからファイルをダウンロードするために『wget』を利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
最新バージョンのGNU Wgetへのアップデートを検討してください。また、信頼できないFTPサーバへの接続や、外部からのリダイレクト設定に注意してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GNU Wget CVE-2026-15146 対応について

お疲れさまです。GNU Wgetの脆弱性に関する情報共有です。

■ 概要
GNU WgetのFTPパッシブモードにおいて、応答に含まれるIPアドレスの検証不備によるSSRF脆弱性(CVE-2026-15146)が判明しました。悪意あるFTPサーバやリダイレクト経由で、内部ネットワークやローカルホストへの不正アクセスを許す可能性があります。

■ 影響範囲
- GNU Wget (FTPパッシブモード利用環境)

■ 対応手順
1. 利用しているOSのパッケージマネージャ等を通じて、Wgetの最新バージョンへの更新を確認してください。
2. Wgetをバックエンドで利用して外部データを取得している自社開発プログラムがある場合、入力値の検証や接続先の制限を検討してください。

■ 参考情報
- CERT/CC アドバイザリ
- GNU Project Wget

対応優先度: 中
対応期限: 次回メンテナンス時まで
Subject: [Security Advisory] GNU Wget CVE-2026-15146 Mitigation

Dear team,

We are sharing information regarding a vulnerability in GNU Wget.

■ Overview
An SSRF vulnerability (CVE-2026-15146) has been discovered in GNU Wget's FTP passive mode. Due to improper validation of the IP address in the PASV response, an attacker could force the tool to connect to arbitrary internal IP addresses or ports.

■ Scope
- GNU Wget (environments utilizing FTP passive mode)

■ Mitigation Steps
1. Update GNU Wget to the latest version via your OS package manager.
2. Review internal applications that use Wget to fetch external data and ensure proper input validation or destination restrictions are in place.

■ Reference
- CERT/CC Advisory
- GNU Project Wget

Priority: Medium
Deadline: Next scheduled maintenance