つみかさね

CVE-2026-29042

Critical(9.8)

CVE-2026-29042 — Nuclio Serverless コマンドインジェクション

公開日: 2026-03-11データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
NuclioNuclio< 1.15.20
CVENuclioServerlessコマンドインジェクション

概要

Nuclio Serverless Platformは、高性能なサーバーレスフレームワークとして広く利用されているオープンソースプロジェクトです。本脆弱性は、NuclioのShell Runtimeコンポーネントに存在するコマンドインジェクションの問題です。

HTTPリクエストに含まれるX-Nuclio-Argumentsヘッダの値が、適切な検証やサニタイズを経ずにシェルコマンドへ渡されるため、攻撃者は細工したHTTPリクエストを送信することで、サーバー上で任意のコマンドを実行できます。これにより、サーバーの完全な制御権限の奪取、機密情報の窃取、他のシステムへの横展開といった深刻な被害が発生する可能性があります。

Nuclioを使用してサーバーレスアプリケーションを運用している組織は、速やかにバージョン1.15.20以降へアップデートすることが強く推奨されます。

CVSSベクトル

項目
CVSSスコア9.8
深刻度Critical
CWECWE-75 (特殊要素の不適切なサニタイズ)

影響を受けるソフトウェア

製品ベンダー影響バージョン
NuclioNuclio< 1.15.20

修正バージョンと回避策

  • 修正バージョン: Nuclio 1.15.20
  • 暫定回避策: Shell Runtimeを使用するファンクションを一時的に無効化し、外部からのHTTPリクエストに対してWAFやリバースプロキシでX-Nuclio-Argumentsヘッダをフィルタリングする

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-29042
GitHub Advisory:https://github.com/nuclio/nuclio/security/advisories/GHSA-95fj-3w7g-4r27
Release:https://github.com/nuclio/nuclio/releases/tag/1.15.20
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。