30秒で判断
対応すべき人:
- repomixサーバーをインターネットや内部ネットワークに公開している開発者・チーム
- コミット
c748b524以前のrepomixを使用している環境
対応不要な人:
- repomixをローカルCLIとしてのみ使用している場合(サーバーモードを使っていない)
- 修正コミット以降のバージョンを使用している場合
確認コマンド:
# repomix バージョン確認
npx repomix --version
概要
repomix(コードリポジトリをAI処理用に一括変換するツール)の POST /api/pack エンドポイントが、http://、https://、file:// URLを検証せずに git clone に渡します。
これにより未認証の攻撃者が以下を実行できます:
- GCPメタデータサービス(
http://169.254.169.254/)へのアクセス - プライベートネットワーク上のサービスへのアクセス
- ローカルファイルシステムパス(
file://)へのアクセス - エラーメッセージを通じたレスポンス内容の一部漏洩
CVSSベクトル
| 項目 | 値 | 説明 |
|---|---|---|
| Attack Vector | Network | ネットワーク経由 |
| Attack Complexity | Low | 特別な条件不要 |
| Privileges Required | None | 認証不要 |
| User Interaction | None | 被害者の操作不要 |
| Scope | Changed | 内部ネットワークに影響 |
| Confidentiality | High | クラウドメタデータ等の漏洩 |
| Integrity | Low | |
| Availability | None |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| repomix | yamadashy | コミット c748b524 以前 |
修正バージョンと対応策
推奨対応: 修正コミット c748b524f41225e7fc6f89ad0084520901a453cf 以降のバージョンへアップデート
npm update repomix
# または
npx repomix@latest
暫定対策:
- repomixサーバーをインターネットに公開しない
- ネットワークレベルでのアウトバウンドフィルタリングを実施
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
