HIGHCVE-2026-22661CVSS 8.1

Skillファイル処理におけるパス・トラバーサル脆弱性 (Path Traversal via Skill File Handling) - prompts.chat

プラットフォーム

nodejs

コンポーネント

prompts-chat

修正版

0f8d4c381abd7b2d7478c9fdee9522149c2d65e5

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-22661は、prompts.chatのskillファイル処理におけるPath Traversal脆弱性です。攻撃者は、悪意のあるZIPアーカイブのファイル名にパストラバーサルシーケンス（../）を注入することで、意図されたディレクトリ外にファイルを書き込み、コード実行を達成する可能性があります。この脆弱性は、prompts.chatのバージョン0.0.0から0f8d4c381abd7b2d7478c9fdee9522149c2d65e5に影響を与えます。バージョン0f8d4c381abd7b2d7478c9fdee9522149c2d65e5以降に修正されています。

影響と攻撃シナリオ

この脆弱性を悪用すると、攻撃者はprompts.chatのskillファイル処理機能を利用して、ZIPアーカイブを解凍する際に、ファイルシステム上の任意の場所にファイルを書き込むことができます。これにより、攻撃者は重要なシステムファイルを上書きしたり、悪意のあるコードを実行したりする可能性があります。特に、シェル初期化ファイル（.bashrc、.zshrcなど）を上書きすることで、システム全体の制御を奪取するリスクがあります。この脆弱性は、サーバーサイドのファイル名検証の欠如が原因であり、攻撃者はパストラバーサルシーケンスを巧妙に利用することで、セキュリティ対策を回避できます。

悪用の状況

この脆弱性は、2026年4月3日に公開されました。現時点では、KEV（CISA Known Exploited Vulnerabilities）に登録されていません。また、公開されているPoC（Proof of Concept）は確認されていませんが、Path Traversal脆弱性であるため、攻撃者による悪用が懸念されます。NVD（National Vulnerability Database）にも登録されており、今後の動向を注視する必要があります。

リスク対象者翻訳中…

Users of prompts.chat who are accepting skill files from untrusted sources are at significant risk. This includes developers integrating prompts.chat into their applications and users who are deploying prompts.chat in environments where they cannot fully control the input data. Shared hosting environments where multiple users share the same server are also particularly vulnerable.

検出手順翻訳中…

• nodejs / server:

find /path/to/prompts.chat/skill_files -name '*[./\*]' -print

• nodejs / server:

ps aux | grep prompts.chat | grep -i 'skill_files'

• generic web: Inspect server logs for unusual file access patterns or errors related to ZIP archive extraction. • generic web: Check for unexpected files in the application's skill file directory.

攻撃タイムライン

2026-04-03Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (10% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントprompts-chat

ベンダーf

影響範囲修正版

0 – 0f8d4c381abd7b2d7478c9fdee9522149c2d65e50f8d4c381abd7b2d7478c9fdee9522149c2d65e5

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-01-08
公開日2026-04-03
更新日2026-04-06
EPSS 更新日2026-04-11

緩和策と回避策

この脆弱性への対応策として、まず、prompts.chatをバージョン0f8d4c381abd7b2d7478c9fdee9522149c2d65e5以降にアップデートすることが最も効果的です。もしアップデートが困難な場合は、一時的な回避策として、skillファイルのZIPアーカイブの解凍処理を無効化するか、厳格なファイル名検証を実装することを検討してください。また、WAF（Web Application Firewall）を導入し、パストラバーサル攻撃を検知・防御するルールを設定することも有効です。解凍処理を行う前に、ファイル名に「..」が含まれていないか、絶対パスになっていないかなどを厳密にチェックすることが重要です。アップデート後、skillファイルの解凍処理が正常に動作することを確認してください。

修正方法翻訳中…

Actualice a la versión 0.0.0 o posterior, que corrige la vulnerabilidad de recorrido de ruta. Esto implica actualizar el paquete 'prompts.chat' a la última versión disponible en el repositorio de GitHub.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-22661 — Path Traversal in prompts.chatとは何ですか？

CVE-2026-22661は、prompts.chatのskillファイル処理におけるPath Traversal脆弱性で、悪意のあるZIPアーカイブを利用して任意のファイルを書き込める可能性があります。

CVE-2026-22661 in prompts.chatに影響を受けますか？

prompts.chatのバージョン0.0.0–0f8d4c381abd7b2d7478c9fdee9522149c2d65e5を使用している場合は、影響を受けます。

CVE-2026-22661 in prompts.chatを修正するにはどうすればよいですか？

prompts.chatをバージョン0f8d4c381abd7b2d7478c9fdee9522149c2d65e5以降にアップデートしてください。

CVE-2026-22661は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、Path Traversal脆弱性であるため、悪用が懸念されます。

CVE-2026-22661に関するprompts.chatの公式アドバイザリはどこで入手できますか？

prompts.chatの公式アドバイザリは、今後の発表をお待ちください。