脅威アクターが、広く使用されているオープンソースのタスクスケジューリングプラットフォームである Qinglong の2つの重大な認証バイパス脆弱性を積極的に悪用し、2026年2月初旬からさらされたサーバーに暗号マイニングマルウェアをデプロイしています。
Snyk の研究者によって発見および開示された、この欠陥は2.20.1を含むすべてのバージョンに影響し、現在 CVE-2026-3965 および CVE-2026-4047 として追跡されています。
Qinglong は、Python3、JavaScript、Shell、TypeScript スクリプトをサポートするセルフホスト型タスク管理パネルを指します。
GitHub で19,000以上のスターと3,200以上のフォークを持つこのプラットフォームは、中国語を話す開発者によってクラウド VPS インスタンスとホームサーバーに広く展開されており、主に Docker 経由で配布されています。
両方の脆弱性は、認証ミドルウェアと Express.js ルーティング動作の間の根本的な不一致を悪用しています:
/aPi/system/command-run へのリクエストを送信すると、認証チェックを完全にバイパスし、認証情報をリセットすることなく、未認証のリモートコード実行(RCE)を付与します。
悪用は2026年2月7日にまでさかのぼり、2月27日の正式な脆弱性開示の数週間前です。
バイナリは .fullgc という名前の隠しファイルとして保存され、永続的なバックグラウンドプロセスとして起動されました。
影響を受けたシステムは85~100% の CPU 飽和を報告し、Nginx リバースプロキシと SSL の背後にあるセットアップでも感染が確認されています。アリババクラウド(Aliyun)は、異常な暗号マイニング活動について複数の影響を受けたインスタンスにフラグを立てました。
Qinglong のメンテナーは2026年3月1日に脆弱性を認め、すぐにアップデートするよう促しました。
根本的な修正は PR #2941 を通じて到着し、認証バイパスをミドルウェアレベルで対処し、ペイロードレベルのフィルタリングではなく正しいセキュリティアプローチを実装しています。
Qinglong を実行している管理者はすぐに:
このインシデントは、認可ミドルウェアとルーティングフレームワークが要求の分類方法について一致しない場合、認証バイパスが簡単に悪用できるようになるという、単一のフレームワークやプロジェクトをはるかに超えるリスクである、永続的なセキュリティアンチパターンを強調しています。
翻訳元: https://cyberpress.org/qinglong-task-scheduler-rce-flaws/
