JVNDB-2026-017417

Vowpal Wabbitにおける複数の脆弱性

Vowpal Wabbitは機械学習システムです。ワークフロー.github/workflows/python_checks.ymlは${{github.event.pull_request.title}}を4つのジョブにまたがる4つの別々のステップ内のダブルクォートされたbash文字列の中に直接埋め込み、それぞれPythonのテストスクリプトrun_tests_model_gen_and_load.pyへのCLI引数として渡しています。シェルはPythonを呼び出す前に展開された文字列を解釈するため、攻撃者はクォートを抜け出してランナー上で任意のコマンドを実行できます。pull_requestトリガーはどのブランチをターゲットにしたPR（branches: ['*']）でも発火し、追加のアクセス制御はありません。この脆弱性はコミット998e390e80a7e8192d7849b7784bc113dbd190adで修正されました。

Vowpal Wabbit

• Vowpal Wabbit 2026-05-04 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
・当該ソフトウェアが完全に停止する可能性があります。

ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Shell injection via crafted PR title in python_checks.yml allows arbitrary command execution on CI runner  Advisory  VowpalWabbit/vowpal_wabbit  GitHub

1. テンプレートエンジンで使用される特殊な要素の不適切な無効化(CWE-1336) [その他]
2. OSコマンドインジェクション(CWE-78) [その他]

1. CVE-2026-44723

1. National Vulnerability Database (NVD) : CVE-2026-44723
2. 関連文書 : Merge commit from fork  VowpalWabbit/vowpal_wabbit@998e390  GitHub

• [2026年06月03日]
    掲載