つみかさね

CVE-2026-42298

Critical(10)

CVE-2026-42298 — Postiz CI/CDパイプライン任意コード実行

公開日: 2026-05-10データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
postiz-appPostiz (gitroomhq)コミット da44801 より前

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1postiz-app を使用しているか確認
  2. 2コミット da44801 以降へのアップデートを適用
  3. 3GitHub Actions ワークフローの権限設定を見直し、GITHUB_TOKEN の権限を最小化

影響対象

postiz-app

補足

  • -CVSS 10.0 Critical — 認証不要でリモートから攻撃可能なため即時対応を推奨します
CVEPostizCI/CD任意コード実行GitHub Actions

概要

Postiz(AI ソーシャルメディアスケジューリングツール)の GitHub Actions ワークフロー「Build and Publish PR Docker Image」に「Pwn Request」脆弱性が存在します。コミット da44801 より前のバージョンでは、攻撃者がフォークから悪意のある Dockerfile.dev を含む Pull Request を作成するだけで、Docker ビルドプロセス中に任意のコードを実行し、高権限の GITHUB_TOKEN(write-all パーミッション)を窃取できます。

CVSSベクトル

指標
CVSSスコア10.0
深刻度Critical
CWECWE-94 (コードインジェクション)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
postiz-appPostiz (gitroomhq)コミット da44801 より前のすべてのバージョン

修正バージョンと回避策

  • コミット da44801 以降に更新してください
  • セルフホスト環境では、GitHub Actions ワークフローのトリガー条件を見直し、フォークからの PR に対する pull_request_target の使用を制限してください
  • GITHUB_TOKEN の権限を最小限(read-only)に設定することを推奨します

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

GitHub Commit:https://github.com/gitroomhq/postiz-app/commit/da448012dd87e94944cbe83a38e7fd023269ec46
GHSA:https://github.com/advisories/GHSA-v975-9h5p-xhm4
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42298
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。