つみかさね

CVE-2026-44484

Critical(9.8)

CVE-2026-44484 — PyTorch Lightning PyPIパッケージへのサプライチェーン攻撃

公開日: 2026-05-08データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
pytorch-lightningLightning AI侵害された複数バージョン

対応ガイド

high|対応必須セキュリティ修正影響: 極めて広範

推奨アクション

  1. 1pytorch-lightningパッケージの利用有無を確認
  2. 2インストール済みバージョンのハッシュを検証
  3. 3侵害バージョンの場合はアンインストールしクリーン環境で再インストール
  4. 4CI/CDパイプラインの依存関係を監査

影響対象

pytorch-lightning

補足

  • -CVSS Critical — サプライチェーン攻撃のため、早急な対応を推奨します
CVEPyTorch LightningサプライチェーンPyPIPython

概要

PyPI上で配布されている pytorch-lightning パッケージの複数バージョンが侵害され、悪意あるコードが混入していることが確認されました。これはサプライチェーン攻撃であり、侵害されたバージョンをインストールまたはアップデートしたユーザーの環境において、任意のコードが実行される可能性があります。

PyTorch Lightningは深層学習フレームワークPyTorchのラッパーライブラリとして広く利用されており、影響範囲は広大です。侵害されたパッケージは正規のリリースに見せかけて配布されていたため、通常のインストール手順で悪意あるコードが導入される危険性がありました。

本脆弱性はGitHub Security Advisory(GHSA-w37p-236h-pfx3)として2026年5月7日に公開されました。

CVSSベクトル

項目
CVSSスコア9.8
深刻度Critical
CWECWE-506 (埋め込み悪意あるコード)

影響を受けるソフトウェア

製品ベンダー影響バージョン
pytorch-lightning (PyPI)Lightning AI侵害された複数バージョン

修正バージョンと回避策

  • 修正バージョン: Lightning AI が公開する正規の修正済みバージョンを確認し、アップデートを実施してください
  • 暫定回避策:
    • インストール済みの pytorch-lightning パッケージのバージョンとハッシュを確認し、侵害されたバージョンでないか検証する
    • 侵害が疑われる場合は、パッケージのアンインストール後にクリーンな環境で再インストールする
    • 依存パッケージのピン留め(バージョン固定)とハッシュ検証を導入する
    • CI/CD パイプラインで利用している場合は、ビルド環境の再構築を検討する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-44484
GitHub Advisory:https://github.com/advisories/GHSA-w37p-236h-pfx3
PyPI:https://pypi.org/project/pytorch-lightning/
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。