つみかさね

CVE-2026-30120

Critical(9)

CVE-2026-30120 — Remotion リモートコード実行

公開日: 2026-06-21データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
remotionRemotion< 4.0.410

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1remotion のバージョンを確認する(npm list remotion)
  2. 2npm update remotion または npm install remotion@latest を実行する
  3. 3package-lock.json を更新してアップデートを確定する

影響対象

remotion(npm パッケージ)4.0.410 未満利用者

補足

  • -GHSA Critical に分類されている脆弱性です。remotion を使用している場合は早急な対応を推奨します
CVERemotionnpmRCE動画生成コード実行

概要

プログラマブル動画生成ライブラリ Remotion(npm パッケージ)のバージョン 4.0.410 未満において、リモートコード実行(RCE)が可能な脆弱性が確認されました。

Remotion は React を使用してプログラムで動画を生成するライブラリで、CI/CD パイプラインや Web アプリケーションに組み込まれることが多いです。本脆弱性により、攻撃者が Remotion を使用するサービスでコードを実行できる可能性があります。

GHSA では Critical に分類されています(CVSS スコアは未採点、本ページでは Critical 下限の推定値 9.0 を表示)。

技術的背景

Remotion はサーバーサイドでの動画レンダリングをサポートしており、Chromium を介したヘッドレスブラウザ処理や Lambda/Vercel などのサーバーレス環境でも使用されています。動画生成処理において外部から制御可能な入力が適切にサニタイズされない場合、リモートコード実行につながるリスクがあります。

本ライブラリはフロントエンド・バックエンド両方の動画処理フレームワークで利用されており、影響を受けるバージョンを使用しているシステムでは早急なアップデートが推奨されます。v4.0.410 では本脆弱性が修正されており、リリースノートと Pull Request #6378 で詳細が確認できます。

動画生成や処理を行うサービスは、ユーザー入力を処理する際のリスクが高い傾向があるため、Remotion に限らずサードパーティライブラリの定期的なアップデートと脆弱性監視を行うことを推奨します。

重大度情報

指標
分類元GitHub Advisory Database (GHSA)
深刻度Critical
CVSSスコア未採点(Critical 下限推定値: 9.0)

影響を受けるソフトウェア

製品ベンダー影響バージョン修正バージョン
remotionRemotion< 4.0.4104.0.410

修正バージョンと回避策

修正バージョン: remotion v4.0.410

推奨対応:

  • npm / yarn / pnpm で remotion を v4.0.410 以降へ更新する
  • npm update remotion または npm install remotion@latest を実行する
  • package.json と lock ファイルを更新して確定する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database (GHSA)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-30120
GitHub Release:https://github.com/remotion-dev/remotion/releases/tag/v4.0.410
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。