HIGHCVE-2026-29075CVSS 8.3

Mesa: `benchmarks.yml` ワークフローにおける信頼できないコードのチェックアウトにより、特権ランナーでコード実行が発生する可能性がある

Q: CVE-2026-29075 — RCE in Mesa Agent-Based Modeling Libraryとは何ですか？

CVE-2026-29075は、Mesaライブラリのバージョン3.5.0以前におけるリモートコード実行（RCE）脆弱性です。benchmarks.ymlワークフローで信頼できないコードを実行することで、特権ランナー上でコード実行が発生する可能性があります。

Q: CVE-2026-29075 in Mesa Agent-Based Modeling Libraryに影響を受けますか？

Mesaライブラリのバージョン3.5.0以前を使用している場合は、影響を受けます。バージョン3.5.0以降にアップグレードすることを推奨します。

Q: CVE-2026-29075 in Mesa Agent-Based Modeling Libraryを修正するにはどうすればよいですか？

Mesaライブラリをバージョン3.5.0以降にアップグレードしてください。アップグレードが一時的にシステムに影響を与える場合は、ベンチマークワークフローを一時的に無効化するか、信頼できるソースからのコードのみを使用するように制限してください。

Q: CVE-2026-29075は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、悪用される可能性は高いと考えられます。

Q: CVE-2026-29075に関するMesa公式のアドバイザリはどこで入手できますか？

Mesaプロジェクトの公式ウェブサイトまたはGitHubリポジトリで、CVE-2026-29075に関するアドバイザリを確認してください。

プラットフォーム

python

コンポーネント

mesa

修正版

3.5.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

Mesaは、エージェントベースモデリングのためのオープンソースPythonライブラリであり、複雑なシステムのシミュレーションや創発的行動の探索を可能にします。バージョン3.5.0以前では、信頼できないコードをbenchmarks.ymlワークフローでチェックアウトすると、特権ランナー上でコード実行が発生する可能性があります。この脆弱性は、コミットc35b8cdによって修正されました。

影響と攻撃シナリオ

この脆弱性は、攻撃者がMesaのbenchmarks.ymlワークフローに悪意のあるコードを挿入することで、特権ランナー上で任意のコードを実行することを可能にします。これにより、システムへの完全なアクセス権を取得したり、機密情報を盗み出したり、他のシステムへの攻撃の足がかりとして利用したりする可能性があります。特に、CI/CDパイプラインを介してMesaを使用している環境では、攻撃の影響が広範囲に及ぶ可能性があります。この脆弱性は、類似のCI/CD環境におけるコード実行攻撃と同様のリスクをもたらします。

悪用の状況

この脆弱性は、2026年3月6日に公開されました。現時点では、公開されているPoCは確認されていませんが、特権ランナー上でコードを実行できるため、悪用される可能性は高いと考えられます。CISAのKEVリストへの登録状況は不明です。攻撃者は、Mesaを使用しているシステムのbenchmarks.ymlワークフローを調査し、脆弱性を悪用する可能性があります。

リスク対象者翻訳中…

Organizations and individuals utilizing Mesa for agent-based modeling, particularly those running simulations in environments with limited access controls or where the runner environment has elevated privileges. Researchers and developers who have customized the benchmarks.yml workflow are also at increased risk.

検出手順翻訳中…

• python / supply-chain:

import os
import subprocess

# Check Mesa version
result = subprocess.run(['pip', 'show', 'mesa'], capture_output=True, text=True)
if result.returncode == 0:
    mesa_version = result.stdout.split('Version: ')[1].split('\n')[0]
    if float(mesa_version) <= 3.5:
        print("Mesa version is vulnerable.")
else:
    print("Mesa is not installed.")

• generic web: Check for unusual files or modifications within the Mesa installation directory, particularly related to the benchmarks.yml workflow.

攻撃タイムライン

2026-03-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

0.12% (31% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響

影響を受けるソフトウェア

コンポーネントmesa

ベンダーmesa

影響範囲修正版

<= 3.5.0 – <= 3.5.03.5.1

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2026-03-03
公開日2026-03-06
更新日2026-03-09
EPSS 更新日2026-03-23

未パッチ — 公開から79日経過

緩和策と回避策

この脆弱性への主な対策は、Mesaライブラリをバージョン3.5.0以降にアップグレードすることです。アップグレードが一時的にシステムに影響を与える場合は、ベンチマークワークフローを一時的に無効化するか、信頼できるソースからのコードのみを使用するように制限するなどの回避策を検討してください。また、ワークフローの入力検証を強化し、信頼できないソースからのコード実行を防止するためのセキュリティ対策を実装することが重要です。アップグレード後、ベンチマークが正常に実行されることを確認し、予期しない動作がないか監視してください。

修正方法翻訳中…

Actualice la biblioteca Mesa a una versión posterior al commit c35b8cd. Esto solucionará la vulnerabilidad de ejecución de código al extraer código no confiable en el flujo de trabajo `benchmarks.yml`.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-29075 — RCE in Mesa Agent-Based Modeling Libraryとは何ですか？