つみかさね

CVE-2026-30307

Critical(9.8)

CVE-2026-30307 — Roo Code OSコマンドインジェクション

公開日: 2026-04-07データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Roo CodeRoo Code脆弱性公開時点の最新版

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Roo Codeを使用しているか確認する
  2. 2コマンド自動承認機能を無効化する
  3. 3ベンダーの最新リリースへアップデートする

影響対象

Roo Code利用者AIコーディングツール利用者

補足

  • -AIコーディングツールのコマンド実行機能のセキュリティリスクとして注意が必要です
CVERoo CodeコマンドインジェクションAIコーディング

概要

AI コーディングツール Roo Code の コマンド自動承認モジュール に OS コマンドインジェクション 脆弱性 が 存在 します。このモジュール は 正規表現 による ホワイトリスト で 危険 な コマンド を フィルタリング しますが、シェル の 命令置換($(...) や バッククォート)を 考慮 していません。攻撃者 は git log --grep="$(malicious_command)" の ような コマンド を 構築 する こと で、Roo Code に 安全 な git 操作 と 誤認 させ、自動承認 を 得る こと が できます。シェル は 引数内 の 悪意 ある コード を 優先的 に 実行 する ため、ユーザー操作 なし で リモートコード実行 が 成立 します。

CVSS ベクトル

項目
CVSS スコア9.8
深刻度CRITICAL
攻撃元区分ネットワーク
攻撃条件の複雑さ
CWECWE-94(コードインジェクション)

影響 を 受ける ソフトウェア

製品名ベンダー影響バージョン
Roo CodeRoo Code脆弱性公開時点の最新版

修正 バージョン と 回避策

  • 修正: ベンダー の 最新リリース を 確認 してください
  • 回避策: コマンド自動承認機能 を 無効化 し、手動 で コマンド を 確認・承認 する 運用 に 切り替え てください
  • 根本対策: コマンド文字列 の 正規表現パース では なく、適切 な シェルパーサー を 使用 した 検証 が 必要 です

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-2286CrewAI SSRFCVSS 9.8CVE-2026-2287CrewAI RCECVSS 9.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-30307
GitHub:https://github.com/Secsys-FDU/LLM-Tool-Calling-CVEs/issues/7
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。