ホスティング管理パネルControl Web Panel(CWP)に、未認証の攻撃者がリモートから任意のSQLクエリを実行できる深刻な脆弱性 CVE-2026-57517が発見されました。
発見者であるイタリアのセキュリティ研究者Egidio Romano氏は2026年7月1日、この脆弱性の詳細な技術情報と概念実証コード(PoC)を自身のブログKarma(In)Securityで公開しています。CVSSスコアは最大値に近い9.8で、CWPが内部で使用しているMySQLのroot権限を悪用することで、最終的にサーバー上での任意コード実行にまで発展し得る深刻な脆弱性です。CWPは無料で利用できるサーバー管理パネルとして世界中の多数のホスティング環境で稼働しており、影響範囲の広さも見過ごせません。
サマリー
- CWP バージョン0.9.8.1224以前に、認証を必要としないブラインドSQLインジェクションの脆弱性CVE-2026-57517が存在。CVSSスコアは9.8(Critical)
- 原因は、CWPの管理画面URL(
https://[CWPホスト]:2083/[CWPユーザー名]/)へのPOSTリクエストに含まれるuserResパラメータが、SQLクエリ構築前に適切なサニタイズ処理を受けていなかったこと - 攻撃の実行には、対象CWPインスタンス上に存在する有効な(root権限を持たない)ユーザー名を、攻撃者が知っているか正しく推測できることが前提条件となる
- 悪用に成功すると、攻撃者はMySQLのroot権限でSQLクエリを実行できる状態になる。このroot権限にはグローバルなFILE権限が含まれるため、
INTO DUMPFILEのようなMySQLのファイル出力機能を使い、サーバー上の書き込み可能な場所へ任意のファイルを作成できる - 具体的には、Webからアクセス可能なRoundcubeのログディレクトリ(
/usr/local/cwpsrv/var/services/roundcube/logs/)に悪意あるPHPコードを書き込むことで、cwpsvcアカウントの権限によるリモートコード実行(RCE)が成立し得る - 脆弱性はすでにバージョン0.9.8.1225で修正済み。本稿執筆時点で実際の攻撃への悪用は確認されていないが、PoCが公開されているため速やかなアップデートが必要
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-57517 |
| CVSSスコア | 9.8(Critical) |
| 対象製品 | Control Web Panel(CWP) |
| 影響を受けるバージョン | 0.9.8.1224以前 |
| 脆弱性の種別 | ブラインドSQLインジェクション |
| 脆弱なパラメータ | userRes(POSTパラメータ) |
| 攻撃条件 | 対象インスタンス上の有効な非rootユーザー名を把握していること |
| 権限昇格の経路 | MySQL rootのグローバルFILE権限を悪用したファイル書き込み |
| 想定される最終的な影響 | cwpsvcアカウント権限でのリモートコード実行(RCE) |
| 修正バージョン | 0.9.8.1225 |
| 発見者 | Egidio Romano氏(Karma In Security) |
| 修正版リリース日 | 2026年6月5日 |
| CVE番号割り当て日 | 2026年6月26日 |
| 一般公開日 | 2026年7月1日 |
| 実際の悪用確認 | 本稿執筆時点で未確認 |
| EPSSスコア(30日) | 0.6% |
何が起きたか
Control Web Panelは、CentOSやAlmaLinux、Rocky LinuxといったRPM系のLinuxディストリビューション上で、Webサーバー・メールサーバー・DNSなどの管理をGUIで行える無料のホスティング管理パネルです。以前はCentOS Web Panelという名称で知られており、当サイトでも過去にこのツールの重大な脆弱性(CVE-2025-48703)を取り上げていますが、今回の脆弱性は別の経路から発見された新たな問題です。
発見者のEgidio Romano氏によれば、CWPの管理画面にアクセスする際のURL(https://[CWPホスト]:2083/[CWPユーザー名]/)に対してPOSTリクエストで送信されるuserResというパラメータが、SQLクエリの構築に利用される前に十分なサニタイズ処理を受けていませんでした。この不備により、リモートの未認証攻撃者がブラインドSQLインジェクション攻撃を仕掛けられる状態にありました。
ブラインドSQLインジェクションとは、SQLクエリの実行結果がそのまま画面に表示されない場合でも、レスポンスの違いや処理時間の違いといった間接的な情報をもとにデータベースの内容を推測・抽出していく攻撃手法です。直接的な出力がなくても、攻撃者は根気強くリクエストを繰り返すことで、データベースの構造や内容を段階的に把握し、さらには任意のSQLクエリを実行するところまで到達できます。
なお、この脆弱性を悪用するには一つ前提条件があります。対象となるCWPインスタンス上に存在する、root権限を持たない有効なユーザーのユーザー名を、攻撃者が事前に知っているか、正しく推測できる必要があるという点です。とはいえ、ホスティング環境ではユーザー名がドメイン名やメールアドレスの一部から類推しやすいケースも多く、この条件が攻撃の大きな障壁になるとは言い切れません。
原因-MySQL rootのFILE権限が持つ危険性
今回の脆弱性が特に深刻とされる理由は、単なる情報漏えいにとどまらず、リモートコード実行にまでつながる明確な攻撃チェーンが存在する点にあります。
Romano氏の解析によれば、このSQLインジェクションを悪用した攻撃者は、CWPが内部で利用しているMySQLデータベースに対して、root権限でSQLクエリを実行できる状態になります。ここで問題になるのが、このMySQLのrootアカウントがグローバルなFILE権限を保持していたことです。MySQLのFILE権限を持つアカウントは、INTO DUMPFILEのようなSQL構文を使うことで、データベースサーバーのファイルシステム上の書き込み可能な場所へ、任意の内容のファイルを書き出すことができます。
攻撃者はこの仕組みを悪用し、Webサーバーから直接アクセス可能なディレクトリ、具体的にはRoundcube(Webメールクライアント)のログを格納する/usr/local/cwpsrv/var/services/roundcube/logs/というディレクトリへ、悪意あるPHPコードを書き込みます。ログファイルとして書き込まれたこのファイルにWebブラウザから直接アクセスすることで、埋め込まれたPHPコードがサーバー上で実行されます。結果として、攻撃者はcwpsvcアカウントの権限を得て、サーバーをリモートから完全に操作できる状態に至ります。
SQLインジェクションからファイル書き込み、そしてWebシェル経由のリモートコード実行へと至るこの一連の流れは、データベースの権限設計における最小権限の原則が守られていないことがいかに大きなリスクにつながるかを、改めて示す事例といえます。
情報システム部門が今すぐ確認すべき対応
CWPを利用している組織がまず取るべき対応は、バージョン0.9.8.1225以降へのアップデートです。修正版はすでに2026年6月5日にリリースされており、ベンダーの公式チェンジログから入手できます。
アップデートと並行して、サーバーログの確認もおすすめします。特にRoundcubeのログディレクトリ配下に、通常のログファイルとは異なる形式のファイルや、PHPコードが含まれるような不審なファイルが存在していないかを確認してください。過去に何らかの形でこの脆弱性を悪用された痕跡がないかを洗い出すうえで重要な手がかりになります。
ファイアウォールルールを用いてCWPの管理パネルへのアクセスを制限することも、有効な緩和策の一つです。管理パネルへのアクセスを特定のIPアドレス範囲や社内ネットワークに限定することで、たとえパッチ適用が遅れた場合でも、外部からの直接的な攻撃リスクを大きく下げることができます。ネットワークセグメンテーションを実施し、データベースサービスのようなクリティカルなコンポーネントを他のシステムから分離しておくことも、被害範囲を限定するうえで有効です。
サーバサイドエンジニアとしてデータベースまわりの設計に携わってきた経験からいうと、アプリケーションが利用するデータベースアカウントにroot相当の広範な権限を割り当ててしまう構成は、レガシーなシステムやオールインワン型の管理ツールで意外と根強く残っています。今回のようにSQLインジェクション単体では情報漏えい程度で済むはずの脆弱性が、FILE権限を持つrootアカウントの存在によってリモートコード実行にまで発展してしまうケースは、権限設計の甘さがどれほど攻撃の深刻度を引き上げるかを物語っています。自社で運用しているシステムのデータベースアカウントについても、アプリケーションが本当に必要とする権限のみが付与されているかを、この機会に見直すことをおすすめします。
CWPは過去にも未認証のリモートコード実行が可能な脆弱性(CVE-2025-48703)が確認されており、無料で利用できる手軽さゆえに世界中の多くのホスティング環境で稼働している一方、継続的な脆弱性対応が求められる製品であることが改めて浮き彫りになっています。同種のホスティング管理パネルとしては、Pleskで発見された致命的なXPathインジェクション脆弱性(CVE-2026-44962)も記憶に新しいところです。共有ホスティング環境を管理するパネル製品は、侵害された際に複数の顧客・テナントへ影響が及ぶ可能性がある点を踏まえ、パッチ管理のサイクルを他のシステムよりも優先度高く運用することが望まれます。
出典
当サイト関連記事:

に未認証リモートコード実行の脆弱性(CVE-2025-48703)、20万以上のサーバーが対象-200x200.png)






