HIGHCVE-2026-31861CVSS 7.5

@siteboon/claude-code-ui は Git ルートでシェルコマンドインジェクションの脆弱性があります

Q: CVE-2026-31861 — コマンドインジェクションは@siteboon/claude-code-uiで何ですか？

CVE-2026-31861は、@siteboon/claude-code-uiのGit設定エンドポイントにおけるコマンドインジェクション脆弱性です。攻撃者は、ユーザー入力値を介してシェルコマンドを注入し、システム上で任意のコードを実行する可能性があります。

Q: CVE-2026-31861は@siteboon/claude-code-uiで影響を受けますか？

はい、@siteboon/claude-code-uiのバージョン1.24.0以前を使用している場合は、この脆弱性の影響を受けます。

Q: CVE-2026-31861は@siteboon/claude-code-uiでどのように修正しますか？

この脆弱性は、@siteboon/claude-code-uiをバージョン1.24.0にアップデートすることで修正されます。

Q: CVE-2026-31861は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、攻撃者が悪用する可能性は否定できません。

Q: CVE-2026-31861の@siteboon/claude-code-uiの公式アドバイザリはどこで入手できますか？

@siteboon/claude-code-uiの公式アドバイザリは、通常、プロジェクトのGitHubリポジトリまたは公式ウェブサイトで公開されます。

プラットフォーム

nodejs

コンポーネント

@siteboon/claude-code-ui

修正版

1.24.1

1.24.0

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-31861は、@siteboon/claude-code-uiの/api/user/git-configエンドポイントにおけるコマンドインジェクション脆弱性です。この脆弱性を悪用されると、攻撃者はサーバー上で任意のコマンドを実行し、システムへの影響を及ぼす可能性があります。影響を受けるバージョンは1.24.0以前です。現在、バージョン1.24.0へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がユーザーのGit名とメールアドレスの入力値を介してシェルコマンドを注入できることを意味します。JWT認証は必須ですが、VULN-01と呼ばれる別の脆弱性を利用することで回避できる可能性があります。攻撃者は、この脆弱性を悪用して、機密情報を盗んだり、システム設定を変更したり、さらにはサーバーを完全に制御したりする可能性があります。攻撃の成功は、VULN-01の存在と、攻撃者がその脆弱性を悪用できる能力に依存します。この脆弱性は、Log4Shellのような広範囲な影響を及ぼす可能性があります。

悪用の状況

この脆弱性は2026年3月10日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、VULN-01の存在により、攻撃者がこの脆弱性を悪用する可能性は否定できません。CISA KEVカタログへの登録状況は不明です。攻撃者は、この脆弱性を悪用して、機密情報を盗んだり、システム設定を変更したりする可能性があります。

リスク対象者翻訳中…

Organizations using @siteboon/claude-code-ui in their Node.js applications, particularly those relying on JWT authentication for access control, are at risk. Development teams using this package in CI/CD pipelines or automated deployment systems are also vulnerable if they haven't implemented robust input validation. Shared hosting environments where multiple applications share the same server are especially susceptible, as a compromise of one application could lead to the compromise of others.

検出手順翻訳中…

• nodejs / server:

ps aux | grep '/api/user/git-config' | grep -i 'gitName'| grep -i 'gitEmail'

• nodejs / server:

journalctl -u your-node-app -g 'api/user/git-config' --since "1 hour ago"

• generic web:

curl -I 'your-server.com/api/user/git-config?gitName=;ls' # Check for command execution in response headers

攻撃タイムライン

2026-03-10Disclosure
disclosure
2026-03-10Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.05% (16% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネント@siteboon/claude-code-ui

ベンダーosv

影響範囲修正版

< 1.24.0 – < 1.24.01.24.1

—1.24.0

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2026-03-09
公開日2026-03-10
更新日2026-03-13
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最も効果的な対策は、@siteboon/claude-code-uiをバージョン1.24.0にアップデートすることです。もしアップデートがすぐに実行できない場合は、WAF（Web Application Firewall）を使用して、/api/user/git-configエンドポイントへの悪意のあるリクエストをブロックすることを検討してください。また、入力値のサニタイズを強化し、シェルコマンドへのユーザー入力の直接的な挿入を避けるようにコードを修正することも有効です。アップデート後、システムログを監視し、異常なコマンド実行の兆候がないか確認してください。

修正方法

Cloud CLI をバージョン 1.24.0 以降にアップデートしてください。このバージョンはシェルコマンドインジェクションの脆弱性を修正しています。最新バージョンを公式サイトからダウンロードするか、対応するパッケージマネージャーを使用してアップデートできます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-31861 — コマンドインジェクションは@siteboon/claude-code-uiで何ですか？