つみかさね

CVE-2026-36044

High(8.8)

CVE-2026-36044 — @pensar/apex npm パッケージ OSコマンドインジェクション

公開日: 2026-05-30データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
@pensar/apexpensar<= 0.0.58(npm)

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1npm list @pensar/apex でバージョンを確認する
  2. 2最新バージョンへ npm update @pensar/apex でアップデートする
  3. 3smart_enumerate ツールへの外部入力を検証・サニタイズする

影響対象

@pensar/apex npm パッケージ利用者

補足

  • -child_process.exec() の代わりに child_process.execFile() を使用すると、シェルを経由しないためコマンドインジェクションのリスクを軽減できます
CVEnpmJavaScriptコマンドインジェクションAIエージェント

概要

@pensar/apex npm パッケージ(バージョン 0.0.58 以前)の createSmartEnumerateTool() 関数で OS コマンドインジェクション脆弱性が発見されました。

src/core/agent/tools.ts の実装において、extensions 配列と url パラメータからの値をサニタイズせずに文字列連結でシェルコマンドを構築し、Node.js の child_process.exec() に渡します。exec() はシェルを起動するため、これらの値に含まれるシェルメタ文字がホストのシェルに解釈され、実行プロセスの権限で任意のOSコマンドが実行されます。

CVSSベクトル

要素
スコア8.8(HIGH)
CWECWE-78(OSコマンドインジェクション)
攻撃元区分(AV)ネットワーク(N)
攻撃条件の複雑さ(AC)低(L)
必要な特権(PR)低(L)

影響を受けるソフトウェア

パッケージバージョン
@pensar/apex(npm)≤ 0.0.58

修正バージョンと回避策

対応手順:

  1. npm list @pensar/apex でバージョンを確認する
  2. npmjs.com で最新バージョンを確認し、アップデートする
  3. 外部ユーザー入力が extensionsurl パラメータに渡らないよう入力バリデーションを実施する

参考: 類似の AI エージェントフレームワーク系パッケージでも入力サニタイズが不十分なケースが見られます。ユーザー入力をシェルコマンドに渡す実装は execFile() などのシェル非経由の API を使用することを推奨します。

関連リンク

データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-41900OpenLearnX リモートコード実行(サンドボックス脱出)CVSS 8.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-36044
npm:https://www.npmjs.com/package/@pensar/apex
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。