つみかさね

CVE-2026-40034

High(7.8)

CVE-2026-40034 — gix-submodule コマンドインジェクション(gitoxide)

公開日: 2026-05-30データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
gix-submoduleGitoxideLabs< 0.29.0
gixGitoxideLabs< 0.84.0
gitoxideGitoxideLabs< 0.5.21

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1Cargo.toml / Cargo.lock で gix / gix-submodule / gitoxide のバージョンを確認する
  2. 2cargo update gix gix-submodule で修正バージョンへ更新する
  3. 3信頼できないリポジトリでサブモジュール操作を行うコードを特定し、優先的に修正バージョンへ移行する

影響対象

gix / gitoxide を使用した Rust アプリケーション開発者・運用者

補足

  • -CVE-2026-44471(同じ gitoxide の別の脆弱性)も同時に修正されています。まとめて対応することを推奨します
CVERustgitgitoxidegixコマンドインジェクションcrates.io

概要

Rust 製 Git 実装 gitoxidegix-submodule クレート(バージョン 0.29.0 未満)に、コマンドインジェクション脆弱性が存在します。

.gitmodulesupdate フィールドの検証において、サブモジュールが .git/config で部分的にのみ設定(初期化)されている場合に CommandForbiddenInModulesConfiguration ガードが迂回されてしまいます。攻撃者が .gitmodulesupdate フィールドに任意のシェルコマンドを注入し、Submodule::update() を呼び出すと、そのコマンドが実行されます。これにより、細工されたリポジトリを処理する際にリモートコード実行が可能になります。

本脆弱性は Anthropic セキュリティチームによっても発見が報告されています(red.anthropic.com/2026/cvd/findings/ANT-2026-6SNS6KMP)。

CVSSベクトル

要素
スコア7.8(HIGH)
CWECWE-77(コマンドインジェクション)
攻撃元区分(AV)ローカル(L) / ネットワーク経由リポジトリクローン
攻撃条件の複雑さ(AC)低(L)

影響を受けるソフトウェア

パッケージバージョン
gix-submodule(crates.io)< 0.29.0
gix(crates.io)< 0.84.0
gitoxide< 0.5.21

修正バージョンと回避策

修正バージョン:

  • gix-submodule: 0.29.0 以降
  • gix: 0.84.0 以降
  • gitoxide: 0.5.21 以降

推奨対応手順:

  1. Cargo.toml で gix / gix-submodule のバージョンを確認する
  2. cargo update で依存関係を更新する
  3. 信頼できないリポジトリでサブモジュール処理を行う実装は特に優先的に対応する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-44471gitoxide シンボリックリンク攻撃によるファイル書き込みCVSS 7.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-40034
GHSA:https://github.com/GitoxideLabs/gitoxide/security/advisories/GHSA-f26g-jm89-4g65
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。