JVNDB-2025-023607 | |
FastGPTにおける重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性 | |
| 概要 | |
FastGPTは、AI駆動のワークフローや会話型エージェントの構築、展開、運用のためのプラットフォームを提供するオープンソースプロジェクトです。Sandboxコンテナ(fastgpt-sandbox)は、FastGPTによってユーザーが提出したコードや動的に生成されたコードを安全に隔離して実行するために用いられる特化された分離環境です。バージョン4.9.11以前のサンドボックスでは分離が不十分で、許可されるシステムコールが多すぎるため、コード実行の制限が不足していました。その結果、攻撃者が想定されるサンドボックスの範囲を逸脱することが可能でした。攻撃者はこれを悪用して任意のファイルを読み書きしたり、Pythonモジュールのインポート制限を回避したりすることができます。バージョン4.9.11では、許可されるシステムコールをより安全なサブセットに制限し、追加の説明的なエラーメッセージを実装することで、この問題に対応しました。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 9.9 (緊急) [NVD値]
| |
| 影響を受けるシステム | |
|
| |
FastGPT | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 | |
| 対策 | |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
GitHub | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
|
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2025/06/09 |
| 登録日 | 2026/01/06 |
| 最終更新日 | 2026/01/06 |
