ProFTPDの mod_sql 拡張機能における重大なSQLインジェクション脆弱性(CVE-2026-42167として追跡)は、認証前に悪用可能であり、特定の設定においてリモートコード実行、認証バイパス、特権昇格を可能にします。
MITREはこの脆弱性をCVSSv3重大度スケールで8.1と評価しており、2026年4月27日にリリースされたProFTPDバージョン1.3.9aにパッチが提供されています。
ProFTPDはインターネット上で最も広く展開されているFTPデーモンの1つであり、Shodanによると2026年4月28日時点で162,000以上の公開アクセス可能なインスタンスがあります。
公開分析によると、ほとんどの主要Linuxディストリビューションにデフォルトで含まれており、cPanel、Plesk、DirectAdmin、ISPConfig、Webminを含む一般的なウェブホスティングコントロールパネルにバンドルされています。
その展開規模により、CVE-2026-42167は共有ホスティング環境にとって重大なサプライチェーンの懸念になります。
シングルクォートで始まり終わり、内部にシングルクォートがない値は、既にサニタイズされたものとして誤って処理され、SQLエスケープを完全にバイパスします。
ProFTPDプロジェクトは2026年4月27日にバージョン1.3.9aをリリースしており、これが公式フィックスを含んでいます。Debianのセキュリティトラッカーはパッチを正式に認め、Slackwareは専用のアドバイザリーを発行しました。
動作するProof-of-Conceptエクスプロイトの公開利用可能性と160,000以上のインターネット公開インスタンスを考慮すると、 mod_sql ロギングが有効になっているProFTPDを実行している管理者は、これを優先度パッチとして扱うべきです。
翻訳元: https://cyberpress.org/proftpd-sql-injection-flaw/
