概要
Lupa は Python から Lua ランタイムを呼び出すためのブリッジライブラリで、科学計算やゲームスクリプティング、組込みスクリプト実行環境として広く利用されています。
本脆弱性は Lupa の attribute_filter 機能にバイパスが存在し、本来アクセスが制限されるべき属性やメソッドに対して、制限を回避してアクセスできる問題です。これにより、攻撃者は Lua スクリプト経由で Python 側の任意コードを実行できる可能性があります。
CVSS スコアは 10.0(Critical)と最高レベルの深刻度であり、Lupa を使用してユーザー提供の Lua スクリプトを実行している環境では、サンドボックスが完全に無効化される危険性があります。特に、マルチテナント環境や外部入力として Lua コードを受け付けるアプリケーションにおいて、リモートからの任意コード実行に直結するため、即座の対応が必要です。
attribute_filter はセキュリティ境界として設計されたものであるため、これがバイパスされることはサンドボックス全体の信頼性に関わる重大な問題です。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 10.0 |
| 深刻度 | Critical |
| CWE | CWE-284 (不適切なアクセス制御), CWE-639 (ユーザー制御キーによる認可バイパス) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Lupa | scoder | 2.6 以前の全バージョン |
修正バージョンと回避策
- 修正バージョン: Lupa 2.7 以降にアップデートしてください
- 回避策: アップデートが即座に実施できない場合は、外部からの Lua スクリプト入力を一時的に無効化し、信頼できないコードの実行を停止してください
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。