CVE-2026-52845 Caddyの特定構成において権限や情報の改ざんを許す脆弱性

この記事はAIがNVDのCVE情報をもとに要約・生成したものです。影響範囲や対策は、必ずNVDおよび各ベンダーの公式情報をご確認ください。

公開日: 2026-06-23T18:18:05.267 / 更新日: 2026-06-23T19:34:58.770 / CVSS: 8.1 / 深刻度: HIGH

Caddyを採用するサーバー環境において、深刻度が高い脆弱性(CVE-2026-52845)が確認されています。この脆弱性は、拡張可能なサーバープラットフォームであるCaddyにおいて、forward_authとphp_fastcgiの機能を組み合わせて運用している際に発生するものです。

問題の内容は、認証ゲートウェイから提供される信頼できる情報を保護するための処理を、特定の条件下で回避できてしまうことにあります。本来、forward_authのcopy_headers機能はクライアントから提供された身元情報を削除してから信頼できる値をコピーしますが、その後の工程でphp_fastcgiがHTTPヘッダーをCGI変数に変換する際、ハイフンをアンダースコアに置き換える動作を行います。この性質を利用し、攻撃者が特定のアンダースコアを含むエイリアスを送ることで、削除ステップを潜り抜け、PHP/FastCGIアプリケーションが信頼している身元やグループのヘッダー情報を注入または上書きできる可能性があります。

この脆弱性が放置された場合、Caddyの後方で動作するPHPアプリケーションにおいて、権限の不正な操作や情報の改ざんを許すリスクがあります。運用管理者は、自システムのCaddyのバージョンが2.11.4未満であるかを確認するとともに、特にforward_authとphp_fastcgiを併用し、ヘッダー情報を基に認可処理を行っている箇所がないかを精査する必要があります。該当する構成がある場合は、速やかにバージョン2.11.4以降へのアップデートを検討してください。

参照情報

ソクラテスの問い、プラトンの備え

ソクラテス

プラトンよ、この「CVE-2026-52845」という事象を見たまえ。あるシステムにおいて、信頼されるべき情報の源泉が、特定の条件下でその正体を偽り、本来取り除かれるべきものが紛れ込んでしまうという理屈だ。これはシステムの「誠実さ」に関する問いではないか?

プラトン

ソクラテス、あなたの哲学的な問いは鋭いですが、現場の管理者としてはより具体的な事象として捉えねばなりません。これはCaddyを採用する環境において、forward_authとphp_fastcgiを組み合わせた際に発生する問題です。具体的には、ハイフンをアンダースコアに置き換える動作によって、本来削除されるべきクライアント側の情報が潜り抜けてしまうという仕組みの不備です。

ソクラテス

なるほど。門番が「これは身元証明だ」と信じる言葉が、実は別人の仮面を被っているかもしれないという懸念だな。では、この事象を放置することはどのような危険をもたらすのかね?

プラトン

それはPHPアプリケーションにおいて、権限の不正な操作や情報の改ざんを許してしまうリスクです。我々のような運用者は、まず自システムのCaddyのバージョンが2.11.4未満であるかを確認しなければなりません。そして、特にforward_authとphp_fastcgiを併用し、ヘッダー情報を基に認可処理を行っている箇所がないかを精査する「影響調査」を行う必要があります。

ソクラテス

真理への道筋は常に慎重な歩みが必要だ。この混乱を正すための手順――つまり「変更管理」の観点からは、どのような準備が必要だろうか?

プラトン

ただ闇雲に動くのではなく、ベンダー情報を確認した上で、速やかにバージョン2.11.4以降へのアップデートを計画しなければなりません。パッチ適用の際には適切な工程を踏み、更新後に監視体制を整えることで、異常なヘッダーの注入が行われていないかを継続的に確認するのです。

ソクラテス

なるほど。システムを守るという行為は、単なる修正ではなく、正しい手順と絶え間ない観察によって成り立つ誠実な義務なのだな。

プラトン

その通りです。まずは対象となる構成があるか、詳細な調査から着手しましょう。

関連キーワード: php