つみかさね

CVE-2026-45102

Critical(9.9)

CVE-2026-45102 — OneUptime Node.js vmモジュール サンドボックス脱出

公開日: 2026-05-31データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
OneUptimeOneUptime< 10.0.98

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1OneUptimeのバージョンを確認する(10.0.98未満が対象)
  2. 2OneUptime を 10.0.98 以降へアップデートする
  3. 3アップデート後、監視機能が正常に動作しているか確認する

影響対象

OneUptime利用者OneUptimeでカスタムスクリプトを実行しているユーザー

補足

  • -Node.jsのvmモジュールはセキュリティサンドボックスとして使用することが公式に推奨されていません。同様のパターンを自社コードで使用している場合は見直しを検討してください
CVEOneUptimeNode.jsサンドボックス脱出vm moduleRCE

概要

オープンソースの監視・オブザーバビリティプラットフォーム OneUptime(バージョン 10.0.98未満)において、分離プリミティブとして Node.js の vm モジュールが使用されていましたが、このAPIはサンドボックス用途に設計されておらず、エラーオブジェクトおよび無限再帰を利用した脱出が可能な脆弱性が確認されました。

Node.js の vm モジュールはコードの実行を分離するための機能を提供しますが、セキュリティサンドボックスとしての使用は公式に推奨されていません。攻撃者がサンドボックス内のコードを制御できる場合、この脆弱性を悪用してホスト環境にアクセスすることができます。

バージョン 10.0.98 で修正されています。

CVSSベクトル

項目
CVSSスコア9.9(CRITICAL)
CWECWE-693(Protection Mechanism Failure)
攻撃元区分(AV)ネットワーク(N)
攻撃条件の複雑さ(AC)低(L)
必要な特権レベル(PR)低(L)
ユーザー関与(UI)不要(N)

影響を受けるソフトウェア

製品ベンダー影響バージョン
OneUptimeOneUptime< 10.0.98

修正バージョンと回避策

  • 修正バージョン: 10.0.98 以降
  • OneUptime を 10.0.98 以降へアップデートしてください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

GHSA:https://github.com/OneUptime/oneuptime/security/advisories/GHSA-g9cp-35m2-fjv6
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-45102
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。