概要
Coral Server は AI エージェント の コラボレーション 基盤 です。バージョン 1.1.0 未満 の SSE エンドポイント(/sse/v1/...)で、接続 する エージェント が セッション の 正当 な 参加者 で ある こと の 検証 が 不十分 です。
セッション 識別子 を 取得 または 推測 した 攻撃者 が、不正 な メッセージ 注入 や セッション の 監視 を 行える 可能性 が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.8 (Critical) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザー関与 | 不要 |
| CWE | CWE-862 (認可の欠如) |
影響を受けるソフトウェア
| 製品 | バージョン |
|---|---|
| Coral Server | 1.1.0 未満 |
修正バージョンと回避策
- 修正バージョン: 1.1.0
- 備考: 同製品 に CVE-2026-30969(CVSS 9.1)と CVE-2026-30970(CVSS 9.1)も 報告 されて おり、v1.1.0 で まとめて 修正 されて います
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。