つみかさね

CVE-2026-59702

Critical(9.3)

repomixのSSRF脆弱性 CVE-2026-59702:影響範囲と対応方法

公開日: 2026-07-12データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
repomixyamadashyコミット c748b524 以前

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1repomixをサーバーモードで公開しているか確認する
  2. 2公開している場合、即時アップデートまたはアクセス制限を実施する
  3. 3最新バージョンへアップデートする

影響対象

repomixサーバーを公開している開発チーム・CI/CD環境

補足

  • -クラウド環境(GCP等)でrepomixサーバーを公開している場合、メタデータAPIへのアクセスリスクが特に高い
CVErepomixSSRF開発ツールCI/CD

30秒で判断

対応すべき人:

  • repomixサーバーをインターネットや内部ネットワークに公開している開発者・チーム
  • コミット c748b524 以前のrepomixを使用している環境

対応不要な人:

  • repomixをローカルCLIとしてのみ使用している場合(サーバーモードを使っていない)
  • 修正コミット以降のバージョンを使用している場合

確認コマンド:

# repomix バージョン確認
npx repomix --version

概要

repomix(コードリポジトリをAI処理用に一括変換するツール)の POST /api/pack エンドポイントが、http://https://file:// URLを検証せずに git clone に渡します。

これにより未認証の攻撃者が以下を実行できます:

  • GCPメタデータサービス(http://169.254.169.254/)へのアクセス
  • プライベートネットワーク上のサービスへのアクセス
  • ローカルファイルシステムパス(file://)へのアクセス
  • エラーメッセージを通じたレスポンス内容の一部漏洩

CVSSベクトル

項目説明
Attack VectorNetworkネットワーク経由
Attack ComplexityLow特別な条件不要
Privileges RequiredNone認証不要
User InteractionNone被害者の操作不要
ScopeChanged内部ネットワークに影響
ConfidentialityHighクラウドメタデータ等の漏洩
IntegrityLow
AvailabilityNone

影響を受けるソフトウェア

製品ベンダー影響バージョン
repomixyamadashyコミット c748b524 以前

修正バージョンと対応策

推奨対応: 修正コミット c748b524f41225e7fc6f89ad0084520901a453cf 以降のバージョンへアップデート

npm update repomix
# または
npx repomix@latest

暫定対策:

  • repomixサーバーをインターネットに公開しない
  • ネットワークレベルでのアウトバウンドフィルタリングを実施

関連リンク


データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。