概要
TinaCMS は ヘッドレス CMS の フレームワーク で あり、その CLI ツール @tinacms/cli に おいて、環境変数 に 保存 された 機密情報 が 漏洩 する 脆弱性 が 発見 されました。
この 脆弱性 は、@tinacms/cli の バージョン 1.0.0 から 1.0.8 まで に 存在 します。CLI の ビルド プロセス に おいて、process.env に 格納 された すべて の 値 が index.js ファイル に 平文 で 追加 されて しまいます。これ に より、Algolia API キー、データベース 接続 文字列、認証 トークン など の 機密 環境変数 が、生成 された ファイル を 通じて 漏洩 する 可能性 が あります。
CWE-200(情報 漏洩)および CWE-532(ログ ファイル へ の 機密 情報 の 挿入)に 分類 される この 問題 は、特に CI/CD パイプライン や ビルド 環境 で 深刻 な 影響 を もたらします。ビルド 成果物 が 公開 リポジトリ に コミット されて いる 場合、環境変数 に 含まれる API キー や シークレット が 第三者 に 公開 される こと に なります。
攻撃者 が 漏洩 した 認証 情報 を 入手 した 場合、関連 する サービス へ の 不正 アクセス、データ の 窃取、なりすまし 攻撃 など に 悪用 される 危険性 が あります。特に Algolia の API キー が 漏洩 した 場合、検索 インデックス の 改ざん や 削除 が 行われる 可能性 も あります。
この 脆弱性 は @tinacms/cli@1.0.9 で 修正 されて おり、影響 を 受ける バージョン を 使用 して いる 場合 は 速やか な アップデート が 推奨 されます。また、過去 の ビルド 成果物 に 機密 情報 が 含まれて いない か を 確認 し、漏洩 の 可能性 が ある 場合 は 関連 する 認証 情報 の ローテーション を 実施 する こと が 重要 です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.6 |
| 深刻度 | High |
| 攻撃元 | ネットワーク |
| 攻撃条件 の 複雑性 | 低 |
| 必要 な 特権 | 不要 |
| ユーザー の 関与 | 不要 |
| 機密性 へ の 影響 | 高 |
| 完全性 へ の 影響 | なし |
| 可用性 へ の 影響 | なし |
| CWE | CWE-200 (情報漏洩), CWE-532 (ログへの情報挿入) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| @tinacms/cli | TinaCMS | 1.0.0 から 1.0.8 まで |
修正バージョンと回避策
- 修正バージョン:
@tinacms/cli@1.0.9以降 へ アップデート - 暫定回避策:
- 過去 の ビルド 成果物(
index.js)に 機密 情報 が 含まれて いない か 確認 する - 漏洩 の 可能性 が ある API キー や シークレット を 速やか に ローテーション する
.gitignoreに ビルド 成果物 を 追加 し、リポジトリ へ の コミット を 防止 する- CI/CD 環境 で は 必要最小限 の 環境変数 のみ を 設定 する
- 過去 の ビルド 成果物(
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。