ネットワーク監視ツールCactiに認証なしでデータベースを抜かれる脆弱性、CVE-2026-39893、v1.2.31へ更新を
サーバーやネットワークの状態をグラフで監視する定番ツール『Cacti』に、認証なしでデータベースを操作されかねない脆弱性が見つかりました。CVE-2026-39893、深刻度は最高クラスのCVSS9.8。絞り込み用の値からのSQLインジェクションで、ゲスト閲覧を有効にした環境ではログインなしに悪用できます。1.2.30以前が対象で、1.2.31へ更新を。
堀川 慎
Backend Engineer / AWS / Django / Go
サーバーやネットワークの状態をグラフで監視する定番ツール『Cacti』に、認証なしでデータベースを操作されかねない脆弱性が見つかりました。CVE-2026-39893、深刻度は最高クラスのCVSS9.8。絞り込み用の値からのSQLインジェクションで、ゲスト閲覧を有効にした環境ではログインなしに悪用できます。1.2.30以前が対象で、1.2.31へ更新を。
サーバーやネットワーク機器の状態をグラフで監視する定番ツール「Cacti(カクタイ)」に、外部から本人確認(認証)なしでデータベースの中身を抜き取られかねない脆弱性(プログラムの欠陥)が見つかりました。CVE-2026-39893、深刻度は10点満点中ほぼ最高の9.8(緊急)です。
対象はバージョン1.2.30以前。GitHubが報告し、2026年6月24日に公開されました。修正は1.2.31に含まれています。入力欄に細工した文字列を送り込んでデータベースを操作する「SQLインジェクション」と呼ばれる手口で、ゲスト閲覧を有効にしている環境ではログインなしに悪用できてしまうため、すぐに更新が必要です。
Cactiとはどんなツールか
Cactiは、サーバーやルーター、スイッチといった機器の通信量や負荷を定期的に集めて、見やすいグラフに描き出す監視ツールです。「いつ・どこで・どれだけ負荷がかかったか」を後から追えるため、社内システムやデータセンターの運用に長く使われています。オープンソースで公開されており、世界中の管理者に利用されている定番の一本です。
Cactiは過去にも実際の攻撃を受けた歴史があり、いくつかの脆弱性は米政府機関CISAの「実際に攻撃されている脆弱性リスト」に登録されてきました。攻撃者にとって「狙う価値のある監視ツール」として知られている点は、今回の脆弱性を軽く見てはいけない理由になります。日本語で追える一覧はCISA KEV ダッシュボード(日本語版)にまとめています。
誰が狙い、何をされ、どうなるのか
狙われるのはCactiをネットワーク上で動かしている、とくに「ゲスト閲覧(ログインせずにグラフを見られる設定)」を有効にしているサーバーです。社内の誰でもダッシュボードを見られるようにと、この設定を入れている環境は珍しくなく、その場合は外部の第三者がログインなしで攻撃の前提を満たせてしまいます。
攻撃者がすることは、入力欄に、データベースが命令として解釈してしまう細工文字列を送り込み、本来は許可されていないデータの読み出しや操作を行わせることです。Cactiのデータベースには、監視対象の機器情報や、利用者のアカウント情報(パスワードのハッシュ含む)などが入っているため、ここを抜かれると被害が広がります。
盗まれたアカウント情報を足がかりに管理者として入り込まれれば、監視設定の改ざんや、Cactiが持つ機能を通じたさらなる侵入につながる恐れがあります。監視ツールは社内ネットワークの広い範囲とつながっていることが多く、入口は小さくても影響が大きくなりがちです。外部から取り込む部品やサービスの点検はOSS サプライチェーン スキャナーの考え方とあわせて見直す価値があります。
脆弱性の中身
SQLインジェクションは、入力欄に送られた文字列を、データベースへの命令文の一部としてそのまま組み込んでしまうことで起きます。攻撃者は、命令文の流れを乗っ取る記号を混ぜることで、本来とは違う問い合わせを実行させられます。
CVE-2026-39893:絞り込み用パラメータからのSQLインジェクション(CVSS 9.8)
公開情報によると、グラフの絞り込みに使う「rfilter」というリクエストの値が、無害化されないまま「RLIKE」というSQLの条件式に直接つなぎ込まれていました。このため、攻撃者は値に細工をすることで任意のデータベース問い合わせを実行できます。問題の窓口はゲスト閲覧を許可する設定では認証前に到達できるため、ログインなしの攻撃が成立してしまう点が、深刻度を最高クラスに押し上げています(Cactiセキュリティアドバイザリ)。修正版の1.2.31では、この値の扱いが見直されています。
自分が対象かどうかの早見表
影響を受けるのは1.2.30以前で、1.2.31で修正済みです。とくにゲスト閲覧を有効にしている場合は認証なしで悪用されるため危険度が上がります。バージョンは管理画面のコンソールで確認できます。
| バージョン | ゲスト閲覧の設定 | やること |
|---|---|---|
| 1.2.30 以前 | 有効 (認証なしで悪用可) | 最優先で 1.2.31へ更新 |
| 1.2.30 以前 | 無効 | 早めに 1.2.31へ更新 |
| 1.2.31 以降 | ― | 対応不要 |
ゲスト閲覧を無効にしている場合でも、ログインできる利用者からは悪用され得るため、いずれにせよ更新が必要です。インターネットに公開しているCactiはとくに急いで対応してください。
いま取るべき対策
最優先は、Cactiを1.2.31以降へ更新することです。公式のリリースから最新版を入手してください。
すぐに更新できない場合の緩和策として、ゲスト閲覧を一時的に無効にする、Cactiをインターネットに直接公開せず社内など信頼できる範囲に接続を絞ることが有効です。あわせて、身に覚えのない管理者アカウントの追加や不審なログイン、監視設定の不審な変更がないかを点検してください。乗っ取りが疑われる場合は、利用者のパスワードを再設定し、データベースの認証情報も入れ替えるのが安全です。
まとめ
CactiのCVE-2026-39893は、絞り込み用の値が無害化されずにSQLの命令に組み込まれていたために、データベースを不正に操作されてしまう脆弱性です。ゲスト閲覧を有効にした環境では認証なしで悪用でき、深刻度はCVSS 9.8。対象は1.2.30以前で、1.2.31で修正済みです。
Cactiは過去に実際の攻撃を受けてきた監視ツールだけに、放置のリスクは小さくありません。運用しているなら、まずバージョンを確認し、古ければ今すぐ更新してください。Cactiに関する新たな脆弱性が出た場合は、本記事に追記して追っていきます。