プラットフォーム
python
コンポーネント
magic-wormhole
修正版
0.21.1
0.23.0
CVE-2026-32116は、Python製のファイル転送ツールmagic-wormholeのファイル受信機能における脆弱性です。悪意のある送信者からのファイル受信により、ローカルファイルが上書きされ、システムへの不正アクセスを許してしまう可能性があります。この脆弱性はmagic-wormholeのバージョン0.22.0以下に影響を与え、バージョン0.23.0へのアップデートで修正されています。
この脆弱性は、magic-wormholeのwormhole receiveコマンドを使用してファイルを悪意のある送信者から受信した場合に発生します。攻撃者は、巧妙に細工されたファイルを送信することで、受信者のローカルファイルを上書きできます。特に、~/.ssh/authorized_keysや.bashrcといった重要なファイルが上書きされると、SSH認証情報の漏洩や、環境変数の悪用によるシステム制御の奪取といった深刻な被害につながる可能性があります。攻撃者は、magic-wormholeのプロトコル設計により、送信者のみがこの攻撃を実行できることに注意が必要です。中継サーバーやその他の受信者は影響を受けません。
この脆弱性は、2026年3月13日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、magic-wormholeの利用者は、この脆弱性の存在を認識し、適切な対策を講じる必要があります。公開されている情報に基づき、この脆弱性は比較的攻撃が容易であり、悪用される可能性は高いと考えられます。CISA KEVカタログへの登録状況は不明です。
Users who rely on magic-wormhole for secure file transfer, particularly those using it to transfer sensitive data or manage SSH keys, are at risk. Systems with legacy configurations or those running older versions of Python where upgrading is difficult are also more vulnerable. Shared hosting environments where multiple users share the same system and SSH keys could experience widespread compromise if exploited.
• python / system:
python3 -c 'import magic_wormhole; print(magic_wormhole.__version__)'• python / system: Check for unusual file modifications in ~/.ssh/authorized_keys and .bashrc using git diff or similar version control tools.
• python / system: Monitor process execution for magic_wormhole with unusual command-line arguments.
• python / system: Review system logs for errors or warnings related to file overwrites during wormhole receive operations.
disclosure
エクスプロイト状況
EPSS
0.08% (25% パーセンタイル)
CISA SSVC
この脆弱性への最も効果的な対策は、magic-wormholeをバージョン0.23.0以降にアップデートすることです。アップデートが困難な場合は、信頼できない送信者からのファイル受信を避けるようにしてください。また、WAFやプロキシサーバーを使用して、悪意のあるファイル送信を検知・遮断することも有効です。さらに、~/.ssh/authorized_keysや.bashrcといった重要なファイルのアクセス権を制限し、不正な書き込みを防止することも推奨されます。アップデート後、wormhole --versionコマンドを実行し、バージョンが0.23.0以降であることを確認してください。
Actualice Magic Wormhole a la versión 0.23.0 o superior. Esto solucionará la vulnerabilidad que permite la sobrescritura de archivos locales arbitrarios por parte de un remitente malicioso. Puede actualizar usando pip: `pip install --upgrade magic-wormhole`.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-32116は、magic-wormholeのファイル受信機能における脆弱性で、悪意のあるファイル送信によりローカルファイルが上書きされる可能性があります。
magic-wormholeのバージョンが0.22.0以下の場合、この脆弱性に影響を受けます。
magic-wormholeをバージョン0.23.0以降にアップデートしてください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、悪用される可能性は高いと考えられます。
magic-wormholeの公式リポジトリまたはプロジェクトのウェブサイトで最新のアドバイザリをご確認ください。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。