概要
GitHub リポジトリ zero-shot-scfoundation に おいて、リモート コード 実行(RCE)の 脆弱性 が 発見 されました。この 脆弱性 は、プロジェクト が 依存 して いる サードパーティ コンポーネント に 起因 して います。
脆弱 な サードパーティ ライブラリ を 介して、未認証 の 攻撃者 が ネットワーク 経由 で 任意 の コード を 実行 する こと が 可能 です。攻撃 に は ユーザー の 操作 が 必要 と される もの の、攻撃 の 複雑性 は 低く、認証 も 不要 で ある ため、影響範囲 は 広い と 考えられます。
CVSS スコア は 8.8(High)と 評価 されて おり、機密性・完全性・可用性 の いずれ に も 高い 影響 が あります。リモート コード 実行 が 成功 した 場合、攻撃者 は サーバー 上 で 任意 の コマンド を 実行 し、データ の 窃取、改ざん、サービス の 停止 など を 行う こと が できます。
この 種 の 脆弱性 は、オープンソース プロジェクト に おける サプライチェーン リスク の 典型例 です。依存 ライブラリ の バージョン 管理 や 脆弱性 スキャン を 定期的 に 実施 する こと が 重要 です。特に、機械学習 や AI 関連 の リポジトリ で は、多数 の 依存 パッケージ を 使用 する こと が 多く、脆弱性 が 混入 し やすい 傾向 に あります。
CWE 分類 は 現時点 で は 未割当 です が、サードパーティ コンポーネント の 脆弱性 を 介した コード 実行 と いう 性質 から、CWE-1395(依存 関係 の 脆弱性)や CWE-94(コード インジェクション)に 該当 する 可能性 が あります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.8 |
| 深刻度 | High |
| 攻撃元 | ネットワーク |
| 攻撃条件 の 複雑性 | 低 |
| 必要 な 特権 | 不要 |
| ユーザー の 関与 | 必要 |
| 機密性 へ の 影響 | 高 |
| 完全性 へ の 影響 | 高 |
| 可用性 へ の 影響 | 高 |
| CWE | なし(未分類) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| zero-shot-scfoundation | GitHub(Microsoft) | 脆弱 な サードパーティ 依存 を 含む バージョン |
修正バージョンと回避策
- 修正バージョン: MSRC の アドバイザリ を 確認 して ください
- 暫定回避策:
- 依存 パッケージ の バージョン を 最新 に 更新 する
pip auditやsafety check等 の ツール で 依存 関係 の 脆弱性 を スキャン する- 信頼 できない 入力 を 処理 する 際 は サンドボックス 環境 で 実行 する
- ネットワーク アクセス を 必要最小限 に 制限 する
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。