概要
SmythOS sre バージョン0.0.15以前の AgentRuntime に、不適切な認証の脆弱性が存在します。HTTP Handler における X-DEBUG-RUN および X-DEBUG-INJ ヘッダーの処理に問題があり、これらのデバッグ用ヘッダーを利用して認証をバイパスできます。
SmythOS はAIエージェントプラットフォームであり、AgentRuntime はエージェントの実行環境を提供するコンポーネントです。認証バイパスにより、未認証の攻撃者がエージェントの実行環境に不正アクセスし、エージェントの動作を操作できる可能性があります。
AIエージェントプラットフォームのセキュリティ脆弱性は、エージェントが接続する外部サービスやデータへの不正アクセスにつながる恐れがあるため、速やかな対応が推奨されます。
SmythOS では同時に Connector Service における情報漏洩(CVE-2026-7021、CVSS 3.5)も報告されており、プラットフォーム全体のセキュリティに課題があることが示唆されます。AI エージェントプラットフォームは外部 API やデータベースとの連携を前提としているため、認証バイパスによる影響範囲は広くなる傾向があります。ベンダーからの修正は未提供のため、本番環境での利用には注意が必要です。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 7.3(High) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限レベル | なし |
| CWE | CWE-287(不適切な認証) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| sre | SmythOS | 0.0.15以前 |
修正バージョンと回避策
- 修正: 修正版は未提供(ベンダー応答なし)
- 回避策: デバッグ用ヘッダー(X-DEBUG-RUN、X-DEBUG-INJ)をリバースプロキシ等でフィルタリングする
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。