つみかさね

CVE-2026-42076

Critical(9.8)

CVE-2026-42076 — Evolver におけるコマンドインジェクション脆弱性

公開日: 2026-05-06データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
EvolverEvoMap< 1.69.3

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Evolver のバージョンを確認
  2. 21.69.3 以降へアップデート
  3. 3アップデート不可の場合は入力値のバリデーションを強化

影響対象

Evolver

補足

  • -CVSS Critical — 早急な対応を推奨します
CVEEvolverコマンドインジェクションRCE

概要

Evolver は GEP(Gene Expression Programming)を活用した AI エージェント向けの自己進化エンジンです。バージョン 1.69.3 より前のバージョンにおいて、_extractLLM() 関数にコマンドインジェクション脆弱性が存在します。

この関数は文字列結合を用いて curl コマンドを構築し、execSync に渡して実行します。攻撃者は細工された入力を通じてサーバー上で任意のシェルコマンドを実行することが可能であり、システムの完全な制御を奪取される危険性があります。

CVSSベクトル

項目
CVSSスコア9.8
深刻度Critical
CWECWE-78 (OSコマンドインジェクション)

影響を受けるソフトウェア

製品ベンダー影響バージョン
EvolverEvoMap< 1.69.3

修正バージョンと回避策

  • 修正バージョン: Evolver 1.69.3 以降へアップデート
  • 暫定回避策: 信頼できない入力が _extractLLM() 関数に渡されないよう、入力値のバリデーションを実施する。外部からのアクセスを制限する

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42076
GitHub Security Advisory:https://github.com/EvoMap/evolver/security/advisories/GHSA-j5w5-568x-rq53
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。