概要
HPCメトリクスの収集・分析フレームワーク OpenXDMoD の 9.5.0〜11.0.2 に存在するOSコマンドインジェクション脆弱性(CWE-78)です。リモートの攻撃者が OpenXDMoD Webサーバーホスト上で、Webサーバープロセスの権限で任意のシステムコマンドを実行できます。
これにより、アプリケーションデータの読み書き、システム設定の変更、サービス妨害が可能になります。本脆弱性は2026年4月6日に非公開で報告され、2026年5月12日に OpenXDMoD 11.0.3 でパッチが提供されました。現時点では実際の悪用事例は確認されていません。
CVSSベクトル
| 要素 | 値 | 説明 |
|---|---|---|
| Attack Vector | Network | ネットワーク経由で攻撃可能 |
| Attack Complexity | Low | 特別な条件不要 |
| Privileges Required | None | 認証不要 |
| User Interaction | None | ユーザー操作不要 |
| Scope | Unchanged | 影響範囲は変化なし |
| Confidentiality | High | 機密情報漏洩のリスク |
| Integrity | High | データ改ざんのリスク |
| Availability | High | サービス停止のリスク |
影響を受けるソフトウェア
| 製品 | 影響バージョン | 修正バージョン |
|---|---|---|
| Open XDMoD | 9.5.0 〜 11.0.2 | 11.0.3 |
修正バージョンと回避策
修正バージョン: Open XDMoD 11.0.3(2026年5月12日リリース)以降へアップグレードしてください。
即時アップグレードが困難な場合は、プロジェクトが提供するパッチを手動で適用することも可能です。
回避策: OpenXDMoD Webインターフェースへのアクセスを信頼できるネットワークに限定することでリスクを低減できますが、根本対処にはアップグレードが必要です。
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。