つみかさね

CVE-2026-31975

Critical(9.8)

CVE-2026-31975 — Claude Code UI WebSocket経由のOSコマンドインジェクション

公開日: 2026-03-21データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Cloud CLI (Claude Code UI)siteboon< 1.25.0
CVEClaude Code UIコマンドインジェクションAIツール

概要

Cloud CLI(Claude Code UI)は、Claude Code、Cursor CLI、Codex、Gemini-CLI向けのデスクトップ・モバイルUIです。バージョン1.25.0未満で、WebSocket Shell処理におけるOSコマンドインジェクション脆弱性が存在します。server/index.jsprojectPathinitialCommandがWebSocketメッセージから取得され、サニタイズなしにbashコマンド文字列に展開されるため、任意のOSコマンドが実行可能です。

CVSSベクトル

項目
CVSSスコア9.8 (Critical)
CWECWE-78(OSコマンドインジェクション)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な権限不要
ユーザー操作不要

影響を受けるソフトウェア

  • Cloud CLI (Claude Code UI) 1.25.0未満

修正バージョンと回避策

  • 修正バージョン: v1.25.0

関連リンク

データソース: NVD (NIST), GitHub Advisory Database

AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-31854Cursor AIコードエディタの脆弱性CVSS 8.8

参考リンク

GitHub Advisory:https://github.com/siteboon/claudecodeui/security/advisories/GHSA-gv8f-wpm2-m5wr
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-31975
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。