つみかさね

CVE-2026-41196

Critical(10)

CVE-2026-41196 — Luanti(旧Minetest)サンドボックス脱出

公開日: 2026-05-15データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Luanti (旧Minetest)Luanti Project>= 5.0.0, < 5.15.2

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1LuaJITを使用しているLuanti環境があるか確認する
  2. 2v5.15.2へアップデートする
  3. 3アップデートが困難な場合はbuiltin/init.luaにgetfenv = nilを追加する

影響対象

Luantiサーバー/クライアント運用者

補足

  • -LuaJITを使用していない環境は影響を受けません
CVELuantiMinetestLuaJITサンドボックス脱出

概要

Luanti(旧Minetest)は、オープンソースのボクセルゲーム作成プラットフォームです。バージョン5.0.0以降5.15.2未満において、LuaJITを使用している環境で悪意あるModがサンドボックス化されたLua環境を容易に脱出し、任意のコードを実行してユーザーのデバイス上のファイルシステムへフルアクセスを取得できる脆弱性が存在します。

この脆弱性はサーバー側(Mod、async、mapgen)およびクライアント側(CSM)の両方の環境に影響します。LuaJITを使用していない場合は影響を受けません。

CVSSベクトル

項目
CVSSスコア10.0(Critical)
CWECWE-94(コードインジェクション)
攻撃元区分(AV)ネットワーク
攻撃条件の複雑さ(AC)
必要な特権レベル(PR)不要
ユーザー関与(UI)不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)

影響を受けるソフトウェア

  • Luanti(旧Minetest): v5.0.0 〜 v5.15.1
    • LuaJITを使用している環境のみ影響
    • サーバー側・クライアント側の両方が対象

修正バージョンと回避策

  • v5.15.2 へアップデートしてください
  • リリース版では、builtin/init.lua の末尾に getfenv = nil を追加することで再コンパイルなしにパッチ適用可能です(ただし、この関数に依存するModは動作しなくなります)

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-41196
GitHub Advisory:https://github.com/luanti-org/luanti/security/advisories/GHSA-g596-mf82-w8c3
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。