JVNDB-2026-005578

StrlenのLobsterにおける複数の脆弱性

aardappel lobster 2025.4 までのバージョンにセキュリティ脆弱性が検出されました。この脆弱性はライブラリ dev/src/lobster/idents.h 内の関数 lobster::TypeName に影響を与えます。この操作により制御不能な再帰が発生します。この攻撃はローカル環境からのみ実行可能です。エクスプロイトは公開されており、悪用される可能性があります。バージョン 2026.1 へのアップグレードでこの問題は修正されます。パッチ名は 8ba49f98ccfc9734ef352146806433a41d9f9aa6 です。影響を受けるコンポーネントはアップグレードすることを推奨します。

Strlen

• Lobster 2026.1 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• Code : 0204/lob3/repro.lobster at main  oneafter/0204  GitHub
• Issues : [Bug] Stack overflow in `TypeName` / `Signature` due to infinite recursion  Issue #397  aardappel/lobster (397)
• Issues : [Bug] Stack overflow in `TypeName` / `Signature` due to infinite recursion  Issue #397  aardappel/lobster (397#issuecomment-3849015088)

Vulnerability Database

• VulDB : CVE-2026-2887 aardappel lobster idents.h TypeName recursion (Issue 397)
• VulDB : Submit #755026: aardappel lobster c8a6042 Uncontrolled Recursion

1. リソースの不適切なシャットダウンおよびリリース(CWE-404) [その他]
2. 不適切な再帰制御(CWE-674) [NVD評価]
3. 不適切な再帰制御(CWE-674) [その他]

1. CVE-2026-2887

1. National Vulnerability Database (NVD) : CVE-2026-2887
2. 関連文書 : Fix function signature printing possible endless recursion  aardappel/lobster@8ba49f9  GitHub
3. 関連文書 : Release Release v2026.1  aardappel/lobster  GitHub
4. 関連文書 : GitHub - aardappel/lobster: The Lobster Programming Language

• [2026年03月02日]
    掲載