skip to content
今日の脆弱性

2026年06月21日の重要脆弱性: CriticalなRCEとセッションハイジャックなど 2 件

/ 5 min read

Table of Contents

概要

本日、CVSSスコア 9.0 を超える Critical な脆弱性が 2 件公開されました。これらは、リモートからのコード実行や管理者セッションのハイジャックを可能にする深刻なもので、速やかな確認と対応が求められます。特に、マルチテナント環境における共有ワークプールの侵害や、Webアプリケーションにおける完全なアカウント乗っ取りのリスクがあります。

CVE-2026-5366: Git引数インジェクションによるRCE

  • CVSS: 9.9 (Critical)
  • 影響: prefecthq / prefecthq/prefect — unspecified 〜 <= latest (affected)

概要

Prefect バージョン 3.6.23 には、GitRepository ストレージクラスにおけるユーザー制御入力の不適切な処理に起因するリモートコード実行 (RCE) の脆弱性があります。commit_sha パラメータが Git コマンドに渡される際に検証が不足しており、ユーザー入力と Git フラグを区別する -- セパレータが含まれていません。これにより、攻撃者は --upload-pack のような任意の Git フラグを挿入し、外部プログラムの実行を可能にします。さらに、directories パラメータもスパースチェックアウト操作中に Git フラグを注入するために悪用される可能性があります。これらの脆弱性により、デプロイ作成権限を持つあらゆるユーザーがワーカーマシン上で任意のコマンドを実行し、マルチテナント環境における共有ワークプールを危険にさらす可能性があります。

推奨対応

ベンダーアドバイザリを確認し、修正パッチが提供されている場合は速やかに適用してください。特に、ユーザー入力の検証を強化し、Git コマンドに渡す引数を適切にエスケープするか、-- セパレータを使用してユーザー入力とコマンドフラグを明確に分離することが重要です。共有ワークプールを利用する環境では、影響範囲を考慮した対策が求められます。

参考

CVE-2026-56345: AVideoのセッションハイジャック脆弱性

  • CVSS: 9.2 (Critical)
  • 影響: AVideo / AVideo — 0 〜 <= 29.0 (affected)

概要

AVideo バージョン 29.0 以前には、Meet プラグインの uploadRecordedVideo.json.php エンドポイントにおける認証バイパスの脆弱性が存在します。このエンドポイントは、アップロードされたファイル名からターゲットの users_id を検証なしで導出します。Meet の共有シークレットを知る攻撃者は、任意の users_id を含むファイル名で悪意のあるファイルアップロードを作成し、パスワードなしで User->login() を呼び出し、管理者を含む任意のユーザーとして認証済みセッションを確立できます。攻撃者は、パス・トラバーサル脆弱性や checkToken.json.php に対するタイミング攻撃を通じて Meet の共有シークレットを取得し、細工されたファイルを uploadRecordedVideo.json.php に投稿することで管理者セッションをハイジャックし、完全なアカウント乗っ取りを実行可能です。

推奨対応

この脆弱性に対する修正パッチが提供されている場合は、速やかに適用してください。また、Meet の共有シークレットが漏洩しないよう、システム設定を再確認し、アクセス制御を強化することが推奨されます。ファイル名からのユーザーID導出に頼らない、より堅牢な認証メカニズムへの変更も検討すべきです。ベンダーが提供するセキュリティアドバイザリの指示に従ってください。

参考

出典