無料スキャン
MEDIUMCVE-2026-5557CVSS 6.3

CVE-2026-5557: Authentication Bypass in pi-mono

プラットフォーム

nodejs

コンポーネント

pi-mono

修正版

0.58.1

0.58.2

0.58.3

0.58.4

0.58.5

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月
NVDで見る
保存

CVE-2026-5557は、badlogicのpi-monoにおいて検出された認証回避の脆弱性です。この脆弱性は、pi-mom Slack Botのpackages/mom/src/slack.tsファイルの処理に起因します。攻撃者は代替チャネルを利用することで認証を回避でき、リモートから実行可能です。影響を受けるバージョンは0.58.0から0.58.4です。既に公開されており、悪用される可能性があります。

影響と攻撃シナリオ

この認証回避脆弱性を悪用されると、攻撃者は認証なしでSlack Botにアクセスし、機密情報を盗み出したり、不正な操作を実行したりする可能性があります。特に、Slack Botが機密情報を扱う場合、その影響は甚大です。攻撃者は、認証されたユーザーになりすまして、他のシステムへのアクセス権を得るための足がかりとしてSlack Botを利用する可能性もあります。この脆弱性は、類似の認証回避脆弱性と同様に、攻撃者にとって魅力的な標的となるでしょう。

悪用の状況

CVE-2026-5557は、2026年4月5日に公開されました。既に公開されているため、攻撃者による悪用が懸念されます。CISAのKEVリストへの登録状況は不明ですが、公開されているPoCが存在するため、悪用される可能性は高いと考えられます。攻撃者による活発なキャンペーンの実施は、現時点では確認されていません。

リスク対象者翻訳中…

Organizations using pi-mono in their Slack bot integrations, particularly those relying on the default authentication mechanisms, are at significant risk. Shared hosting environments where multiple users share the same pi-mono instance are also particularly vulnerable, as an attacker could potentially compromise the bot and gain access to other users' data.

検出手順翻訳中…

• nodejs: Monitor process execution for suspicious activity related to slack.ts.

Get-Process -Name 'pi-mono' | Select-Object -ExpandProperty Path

• nodejs: Check for unauthorized modifications to the packages/mom/src/slack.ts file using file integrity monitoring tools. • generic web: Monitor access logs for requests targeting the vulnerable endpoint.

grep 'slack.ts' /var/log/nginx/access.log

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート1 脅威レポート

EPSS

0.06% (18% パーセンタイル)

CISA SSVC

悪用状況poc
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R6.3MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityLow機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityLowサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
低 — 一部データへの部分的アクセス。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
低 — 部分的または断続的なサービス拒否。

影響を受けるソフトウェア

コンポーネントpi-mono
ベンダーbadlogic
影響範囲修正版
0.58.0 – 0.58.00.58.1
0.58.1 – 0.58.10.58.2
0.58.2 – 0.58.20.58.3
0.58.3 – 0.58.30.58.4
0.58.4 – 0.58.40.58.5

弱点分類 (CWE)

CWE-288CWE-287

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日
未パッチ — 公開から49日経過

緩和策と回避策

この脆弱性への対応策として、まずpi-monoを最新バージョンにアップデートすることが推奨されます。アップデートが困難な場合は、Slack Botへのアクセスを制限するファイアウォールルールを実装したり、認証プロセスを強化するなどの対策を講じる必要があります。また、Slack Botのログを監視し、不審なアクティビティがないか確認することも重要です。WAFやプロキシサーバーを利用して、悪意のあるリクエストをブロックすることも有効です。

修正方法

pi-mono パッケージを修正されたバージョンにアップデートしてください。CVE の説明では、この脆弱性は 0.58.0 から 0.58.4 までのバージョンに存在すると示されているため、認証バイパスのリスクを軽減するために、最新の利用可能なバージョンにアップデートすることをお勧めします。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5557 — 認証回避の脆弱性はpi-monoで何が起こりますか?

CVE-2026-5557は、pi-mono 0.58.0~0.58.4において、Slack Botの認証回避脆弱性です。攻撃者は代替チャネルを利用して認証を回避可能で、リモートから実行可能です。

CVE-2026-5557の脆弱性pi-monoで影響を受けますか?

pi-monoのバージョン0.58.0から0.58.4を使用している場合は、この脆弱性の影響を受けます。最新バージョンにアップデートすることを推奨します。

CVE-2026-5557の脆弱性pi-monoを修正するにはどうすればよいですか?

pi-monoを最新バージョンにアップデートしてください。アップデートが困難な場合は、アクセス制限や認証プロセスの強化などの対策を講じる必要があります。

CVE-2026-5557の脆弱性が積極的に悪用されていますか?

既に公開されており、悪用される可能性は高いと考えられます。攻撃者による活発なキャンペーンの実施は、現時点では確認されていません。

CVE-2026-5557の脆弱性に関するpi-monoの公式アドバイザリはどこで入手できますか?

現時点では、公式アドバイザリは公開されていません。badlogicのウェブサイトやGitHubリポジトリで最新情報を確認してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索