サーバー管理パネル「Control Web Panel」に認証なしで乗っ取りの脆弱性 CVE-2026-57517、世界15万台超が標的、0.9.8.1225へ更新を
Linuxサーバーの管理に広く使われる無料パネル「Control Web Panel(CWP、旧CentOS Web Panel)」に、ログイン不要でデータベースを操作されサーバーを乗っ取られる脆弱性CVE-2026-57517が見つかりました。公開されたCWPは世界で15万台超、日本も上位。危険度9.8で、修正版0.9.8.1225への更新が必要です。
目次
Linuxサーバーの管理に広く使われる無料パネル「Control Web Panel(CWP、旧CentOS Web Panel)」に、ログイン不要でデータベースを操作されサーバーを乗っ取られる脆弱性CVE-2026-57517が見つかりました。公開されたCWPは世界で15万台超、日本も上位。危険度9.8で、修正版0.9.8.1225への更新が必要です。
レンタルサーバーやVPSの管理に広く使われている無料の管理画面「Control Web Panel(CWP、旧CentOS Web Panel)」に、ログイン不要でサーバーを乗っ取られる恐れのある脆弱性が見つかりました。管理番号はCVE-2026-57517、危険度は10点満点中9.8点(重要度「緊急」)です。
攻撃者は本人確認(認証)を一切受けないまま、細工した通信を送るだけで、CWPが使うデータベースを自由に操作できてしまいます。そこから最終的に、サーバー上に不正なプログラム(Webシェル)を仕込んでサーバーを乗っ取る手口につながる恐れがあります。インターネットに公開されているCWPは世界で15万台以上(別の集計では22万台超)にのぼり、日本も設置数の多い国の一つです。開発元は修正版「0.9.8.1225」を公開しており、CWPを使っているサーバーは今すぐ更新が必要です。
| 項目 | 内容 |
|---|---|
| 管理番号 | CVE-2026-57517 |
| 対象ソフト | Control Web Panel(CWP、 旧CentOS Web Panel) |
| 影響を受ける版 | 0.9.8.1225 より前 |
| 修正版 | 0.9.8.1225 |
| 危険度 | CVSS 9.8 / 10(重要度「緊急」) |
| 脆弱性の種類 | SQLインジェクション (CWE-89) |
| ログインの要否 | 不要(無認証で悪用可) |
| 悪用の確認 | 本CVEは現時点で報告なし (製品は過去に悪用多数) |
| 公開台数 | 世界で15万〜22万台超 |
誰が、何のために狙うのか
狙うのはインターネットに公開されたCWPの管理画面に接続できる、不特定多数の攻撃者です。CWPの管理画面はサーバーを操作するための入口としてネット越しに開かれていることが多く、ログイン情報も特別な権限も要らずに試せてしまう点が、この脆弱性の危険なところです。攻撃者は公開サーバーを機械的に探し出し、片っ端から攻撃を仕掛けてきます。
攻撃者ができるのは、細工した通信でCWPのデータベースを自由に操作し、そこを足がかりにサーバー上へ不正なプログラム(Webシェル)を設置してサーバーを乗っ取ることです。Webシェルとは、攻撃者がブラウザ越しにサーバーへ命令を送り込むための裏口プログラムのことです。
サーバー管理パネルを乗っ取られると、被害は一台にとどまりません。CWPは1台のサーバーで多数のWebサイトやメール、データベースをまとめて管理する用途で使われるため、乗っ取られるとその上で動くすべてのサイトの改ざん、顧客データの流出、フィッシングサイトや迷惑メールの踏み台化に一気につながります。レンタルサーバー事業者が使っていれば、そこに同居する多数の利用者のサイトが巻き添えになる恐れもあります。だからこそ、後述する更新を最優先で進める必要があります。
Control Web Panel(CWP)とは何か
Control Web Panelは、Linuxサーバーの管理を画面操作だけで行えるようにする無料の管理ツール(コントロールパネル)です。以前は「CentOS Web Panel」という名前で知られていました。Webサイトの公開、メールアカウントの作成、データベースの管理、SSL証明書の設定などを、コマンドを打たずにブラウザ上でまとめて扱えるため、有料の「cPanel」などの代替として、個人から小規模なレンタルサーバー事業者まで幅広く使われています。
導入は世界的に多く、インターネットに公開されているCWPの管理画面は、調査サービスの集計で15万台以上(Shodanでは22万台超)が確認されています。設置国は米国、ドイツに続いて日本も上位に入っており、国内のサーバーにも数多く使われています。
問題は、このCWPが攻撃者にとって長年の「定番の標的」である点です。管理画面がインターネットに露出しやすく、乗っ取れば見返りが大きいため、過去にも認証不要の乗っ取り脆弱性が繰り返し悪用されてきました。今回のCVE-2026-57517も、その系譜に連なる新たな1件です。
何が起きるのか、脆弱性の中身
原因は、CWPが受け取った入力を、データベースへの命令文に組み込む際のチェック不足です。NVD(米国立標準技術研究所の脆弱性データベース)の説明によると、userResという送信項目(POSTパラメータ)に細工した文字列を入れることで、攻撃者が任意のデータベース命令(SQL)を実行できてしまいます。これはSQLインジェクション(CWE-89)と呼ばれる古典的だが影響の大きい欠陥です。
今回の型は「ブラインドSQLインジェクション」と呼ばれるもので、画面に結果が直接表示されなくても、システムの反応の違いからデータベースの中身を一文字ずつ推測して抜き出せます。管理者アカウントのパスワード情報や設定など、データベースに入っている機密情報が読み取られる恐れがあります。しかもこれらがログインを一切必要とせずに行えるため、危険度はCVSSで9.8(緊急)と評価されています。
さらにNVDは、この欠陥が最終的にサーバー上での任意プログラム実行(RCE)につながり得ると指摘しています。データベース操作を足がかりに、PHPのWebシェル(裏口プログラム)を仕込む攻撃が想定されるためです。SQLの実行自体は確実に成立する一方、そこからのWebシェル設置・乗っ取りは環境や設定に依存する段階的な手口ですが、CWPのように管理者権限に近い場所で動くソフトでは現実的な脅威です。
自分のサーバーは危ないか、バージョン別の早見表
CWPの管理画面にログインし、バージョン表示を確認してください。以下の早見表で状況を判断できます。
| 使っているバージョン | 管理画面をネットに公開 | 接続元をIP制限済み |
|---|---|---|
| 0.9.8.1225 より前 | 危険度・緊急 今すぐ更新 | 危険度・中 それでも更新を |
| 0.9.8.1225 以降 | 対策済み | 対策済み |
| CWP未使用 | 影響なし | 影響なし |
管理画面への接続元を信頼できるIPアドレスだけに絞っている場合は、不特定多数からの攻撃が届きにくくなるため切迫度は下がります。とはいえ設定ミスや内部からの攻撃の可能性は残るため、いずれにせよ更新が安全です。
CWPは無認証乗っ取りの「常襲的な標的」だという背景
今回のCVE-2026-57517を、単発の脆弱性として片付けるべきではありません。CWPは認証不要でサーバーを乗っ取れる脆弱性が、過去に何度も見つかり、実際に大規模な攻撃に使われてきた製品です。米政府機関CISAの「実際に攻撃されている脆弱性リスト(KEV)」にも複数回登録されています。時系列で並べると、その常習性が見えてきます。
| 管理番号 | 内容 | 状況 |
|---|---|---|
| CVE-2022-44877 | 無認証で 任意プログラム実行 | 大規模悪用 KEV登録済み |
| CVE-2025-48703 | 無認証で 任意プログラム実行 | 悪用確認 KEV登録済み |
| CVE-2026-57517 | 無認証で データベース操作→乗っ取り | 今回(悪用は 現時点で未報告) |
なぜCWPが繰り返し狙われるのか。背景には、サーバー管理パネルという「最も権限の強い入口」を、インターネットに直接さらしてしまいがちという構造があります。管理パネルは便利さと引き換えに、乗っ取られれば即座にサーバー全体を明け渡すことになる、攻撃者にとって費用対効果の高い標的です。過去のCWP脆弱性は公開後まもなく自動化された攻撃が始まった例が多く、今回も「まだ悪用報告がない」ことに安心はできません。実際に攻撃へ使われた脆弱性はCISA KEV ダッシュボード(日本語版)で追えるようにまとめており、CWP関連は今後もここに載る可能性があります。
いま何をすべきか
最優先は、CWPを修正版0.9.8.1225以降へ更新することです。CWPはサーバー上のコマンド(yum update や CWP付属の更新機能)で更新できます。公式の更新履歴で最新版を確認してください。
更新に加えて、管理パネル特有の守りも見直しておくと安全です。まず、管理画面(初期設定では2030番・2031番などのポート)をインターネット全体に公開せず、接続元を自分の使うIPアドレスに絞ることです。会社や自宅の固定回線、VPN経由のみに限定するだけで、不特定多数からの自動攻撃はほぼ遮断できます。次に、前段にWAF(不正な通信を検知して止める仕組み)を置くこと、そしてすでに侵入されていないかの点検です。見慣れないPHPファイルや管理者アカウント、身に覚えのないデータベースの変更、不審な通信がないかを確認し、疑わしい場合はパスワードとデータベースの認証情報をすべて入れ替えてください。
まとめ
CVE-2026-57517は、サーバー管理パネルCWPで、ログイン不要でデータベースを操作され、最終的にサーバーを乗っ取られる恐れのある脆弱性です。危険度はCVSS 9.8と最高クラスで、インターネットに公開されたCWPは世界で15万台を超え、日本にも数多く存在します。修正版0.9.8.1225が公開済みです。
CWPは過去にも無認証の乗っ取り脆弱性が繰り返し悪用されてきた、攻撃者にとっての定番の標的です。今回も公開直後から自動化された攻撃が始まる可能性を前提に、すぐに更新し、あわせて管理画面をインターネットに晒さない運用へ切り替えることを強くおすすめします。まずは自分のサーバーのCWPが0.9.8.1225以降になっているか、今すぐ確認してください。
参照元

堀川 慎
Backend Engineer / AWS / Django / Go