2026年06月11日の重要脆弱性: Boxliteにおける深刻な脆弱性 2件

概要

本日、Boxliteサンドボックスサービスに関する2件の非常に深刻な脆弱性が公開されました。これらはいずれもCVSSスコアが9.0を超えるCriticalな評価を受けており、システムのセキュリティに重大な影響を及ぼす可能性があります。特に、Boxliteを使用している環境では早急な対応が求められます。

CVE-2026-46695: Boxliteにおける読み取り専用ファイルの不正変更

• CVSS: 10.0 (Critical)
• 影響: boxlite-ai / boxlite — versions: < 0.9.0

概要

Boxliteサンドボックスサービスにおいて、コンテナ内のカーネルケーパビリティが適切に制限されていなかったため、悪意のあるコードが読み取り専用ディレクトリを書き込み可能なモードで再マウントし、任意のファイル書き込み操作を実行できる脆弱性です。この脆弱性を悪用されると、本来変更されるべきではないシステム上の重要なファイルが改ざんされる可能性があります。

推奨対応

ベンダーは本件をバージョン0.9.0でパッチ適用済みです。Boxliteを使用している場合は、速やかにバージョン0.9.0以降にアップデートすることを強く推奨します。詳細については、提供されているGitHubアドバイザリを参照してください。

参考

• BoxLite: Permission Bypass in boxlite Allows Modification of Read-Only Files
• fix(mount): restrict kernel capabilities in oci containers by nishadp · Pull Request #454 · boxlite-ai/boxlite
• Release v0.9.0 · boxlite-ai/boxlite

CVE-2026-46703: Boxliteにおけるホストへの任意ファイル書き込み (パストラバーサル)

• CVSS: 9.6 (Critical)
• 影響: boxlite-ai / boxlite — versions: < 0.9.0

概要

Boxliteサンドボックスサービスにおいて、OCIイメージ内のtarエントリを処理する際に、シンボリックリンクが絶対パスを指す可能性を考慮していなかったため、パストラバーサルが発生します。これにより、攻撃者は細工されたOCIイメージを用いてホストシステム上の任意のパスにファイルを作成・書き込みできる可能性があります。これは結果としてホスト上でのリモートコード実行につながる恐れがあり、非常に危険です。

推奨対応

ベンダーは本件をバージョン0.9.0でパッチ適用済みです。Boxliteを使用している場合は、直ちにバージョン0.9.0以降へのアップデートを適用してください。不審なOCIイメージの使用は避け、提供元が信頼できるもののみを使用するよう注意してください。

参考

• BoxLite: Path Traversal Vulnerability in boxlite Leads to Arbitrary File Write on the Host
• Release v0.9.0 · boxlite-ai/boxlite

出典

• db.gcve.eu