JVNDB-2026-009679 | |
CASIANOのGRID::Machineにおける複数の脆弱性 | |
| 概要 | |
GRID::Machine のバージョン 0.127 以前の Perl 版には、安全でないデシリアライズを介した任意のコード実行の脆弱性があります。GRID::Machine は SSH 上でリモートプロシージャコール(RPC)を Perl に提供します。クライアントはリモートホストに接続してコードを実行します。侵害された、または悪意のあるリモートホストは、RPC プロトコルの安全でないデシリアライズを通じてクライアント側で任意のコードを実行できます。lib/GRID/Machine/Message.pm の read_operation() は eval() を使用してリモート側からの値をデシリアライズします。$arg はプロトコルパイプからの生のバイト列であり、侵害されたリモートホストは Dumper 形式のレスポンスに任意の Perl コード(例: $VAR1 = do {system("...");};)を埋め込むことができます。これは、戻り値が正しいままであるため、すべての RPC 呼び出し時にクライアント側で静かに実行されます。この機能は設計上のものですが、リモートホストの信頼要件が配布物に文書化されています。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 9.8 (緊急) [NVD値]
| |
| 影響を受けるシステム | |
|
| |
CASIANO | |
|
| |
| 想定される影響 | |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 | |
| 対策 | |
参考情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
|
| |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/03/29 |
| 登録日 | 2026/04/02 |
| 最終更新日 | 2026/04/02 |



