つみかさね

CVE-2026-42994

Critical(9.8)

CVE-2026-42994 — Bitwarden CLI npmサプライチェーン攻撃

公開日: 2026-05-05データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Bitwarden CLIBitwarden, Inc.2026.4.0 (npm, 2026-04-22 21:57-23:30 UTC)

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1該当時間帯(2026-04-22 21:57〜23:30 UTC)にnpmからBitwarden CLIをインストールしたか確認する
  2. 2該当する場合はnode_modulesを削除し再インストールする
  3. 3認証情報の漏洩確認とローテーションを実施する

影響対象

Bitwarden CLIをnpm経由で利用するCI/CD環境開発者

補足

  • -CI/CDパイプラインのビルドログも確認対象
CVEBitwardennpmサプライチェーンCheckmarx

概要

Bitwarden CLI 2026.4.0がnpm経由で配布された際、Checkmarxのサプライチェーンインシデントにより約90分間(2026-04-22T21:57Z〜23:30Z)悪意あるコードが埋め込まれていました。該当時間帯にnpmからBitwarden CLIをインストールした場合、コマンドインジェクションおよび任意コード実行のリスクがあります。

CVSSベクトル

項目
CVSSスコア9.8(Critical)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要
ユーザー関与不要
CWECWE-78(OSコマンドインジェクション)、CWE-94(コードインジェクション)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Bitwarden CLIBitwarden, Inc.2026.4.0(npm経由、2026-04-22 21:57〜23:30 UTC)

修正バージョンと回避策

  • 該当時間帯以降にnpmから再取得したBitwarden CLIは安全です
  • 該当時間帯にインストールした場合は、node_modules を削除し npm install で再インストールしてください
  • CI/CDパイプラインでBitwarden CLIを利用している場合は、ビルドログで該当時間帯のインストール有無を確認してください
  • 認証情報(マスターパスワード、APIキー等)の漏洩有無を確認し、必要に応じてローテーションしてください

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42994
Bitwarden:https://community.bitwarden.com/t/bitwarden-statement-on-checkmarx-supply-chain-incident/96127
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。