つみかさね

CVE-2026-37531

Critical(9.8)

CVE-2026-37531 — AGL app-framework-main Zip Slipパストラバーサルの脆弱性

公開日: 2026-05-03データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
app-framework-mainAutomotive Grade Linux (AGL)17.1.12 以前

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1AGL app-framework-main 17.1.12以前を使用しているか確認
  2. 2最新バージョンへのアップデートを速やかに実施
  3. 3信頼できないソースからのアプリケーションインストールを制限

影響対象

AGL app-framework-main

補足

  • -展開が署名検証前に行われるため、署名検証の失敗後もファイルが残存する点に注意
CVEAGLパストラバーサルTOCTOU

概要

Automotive Grade Linux(AGL)の app-framework-main バージョン 17.1.12 以前に、Zip Slip によるパストラバーサルの脆弱性と TOCTOU(Time-of-Check to Time-of-Use)競合状態の脆弱性が存在します。

この脆弱性は、アプリケーションのインストール処理において、ZIP アーカイブの展開が署名検証よりも前に実行されることに起因します。攻撃者は細工された ZIP ファイルを用いることで、意図しないディレクトリにファイルを書き込むことが可能です。さらに、署名検証が失敗した場合でも、展開済みのファイルはシステム上に残存するため、攻撃の影響が持続します。

車載システムにおいてこの脆弱性が悪用された場合、システムの完全性が損なわれ、任意のコード実行につながる可能性があります。AGL を使用している環境では、速やかなアップデートが必要です。

CVSSベクトル

指標
CVSSスコア9.8
深刻度Critical
CWECWE-22 (パストラバーサル), CWE-367 (TOCTOU競合状態)

影響を受けるソフトウェア

  • AGL app-framework-main バージョン 17.1.12 以前

修正バージョンと回避策

  • 修正方法: AGL app-framework-main を最新バージョンにアップデートしてください
  • 暫定回避策: 信頼できないソースからのアプリケーションインストールを制限してください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-37534Open-SAE-J1939 整数アンダーフローによる任意メモリ書き込みCVSS 9.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-37531
AGL Gerrit:https://gerrit.automotivelinux.org/gerrit/src/app-framework-main
GitHub Gist:https://gist.github.com/sgInnora/8526eedcfd826d05ef1fc45d8f405643
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。