HIGHCVE-2026-39981CVSS 8.8

AGiXTにおいてsafe_join()にパス・トラバーサル脆弱性がある

Q: CVE-2026-39981 — Path Traversal in AGiXTとは何ですか？

CVE-2026-39981は、AGiXTのバージョン1.0.0から1.9.2までのPath Traversal脆弱性です。認証された攻撃者が、ディレクトリトラバーサルシーケンスを利用して、サーバー上の任意のファイルを読み書き、削除できる可能性があります。

Q: CVE-2026-39981 in AGiXTで影響を受けますか？

AGiXTのバージョン1.0.0から1.9.2を使用している場合、この脆弱性の影響を受けます。バージョン1.9.2へのアップデートが必要です。

Q: CVE-2026-39981 in AGiXTを修正するにはどうすればよいですか？

AGiXTをバージョン1.9.2にアップデートしてください。アップデートがすぐに利用できない場合は、WAFを導入し、ディレクトリトラバーサル攻撃を検知・ブロックするルールを設定することを推奨します。

Q: CVE-2026-39981のAGiXT公式アドバイザリはどこで入手できますか？

AGiXTの公式アドバイザリは、AGiXTのウェブサイトまたはGitHubリポジトリで確認できます。

プラットフォーム

nodejs

コンポーネント

agxt

修正版

1.9.3

AI Confidence: highNVDEPSS 0.5%レビュー済み: 2026年5月

NVDで見る

保存

AGiXTは、動的なAIエージェント自動化プラットフォームです。この脆弱性は、essentialabilities拡張機能のsafejoin()関数が、解決されたファイルパスが指定されたエージェントワークスペース内に留まることを検証しないことに起因します。バージョン1.0.0から1.9.2までのAGiXTインスタンスが影響を受けます。バージョン1.9.2へのアップデートでこの問題は修正されています。

影響と攻撃シナリオ

認証された攻撃者は、このPath Traversal脆弱性を悪用することで、AGiXTインスタンスをホストするサーバー上の任意のファイルにアクセスし、読み書き、削除することが可能です。これにより、機密情報の漏洩、システムの改ざん、さらにはサーバー全体の制御奪取につながる可能性があります。攻撃者は、設定ファイル、ログファイル、データベースファイルなどを標的にし、システムを完全に侵害する可能性があります。この脆弱性は、サーバー上の他のアプリケーションやサービスへの攻撃の足がかりとなる可能性も否定できません。

悪用の状況

この脆弱性は、2026年4月9日に公開されました。現時点では、公開されているPoCは確認されていませんが、Path Traversal脆弱性は悪用が容易であり、今後、攻撃者による悪用が懸念されます。CISA KEVへの登録状況は確認されていません。NVDデータベースにも登録されています。

リスク対象者翻訳中…

Organizations deploying AGiXT in production environments, particularly those with limited access controls or inadequate monitoring, are at significant risk. Shared hosting environments where multiple AGiXT instances reside on the same server are also vulnerable, as a compromise of one instance could potentially lead to the compromise of others.

検出手順翻訳中…

• nodejs: Monitor AGiXT logs for unusual file access patterns or attempts to access files outside the designated workspace. Use lsof to identify processes accessing files within the workspace.

lsof /path/to/agixt/workspace

• generic web: Examine access logs for requests containing directory traversal sequences (e.g., ../..).

grep '../..' /var/log/apache2/access.log

• generic web: Check response headers for unexpected file content or server errors related to file access.

攻撃タイムライン

2026-04-09Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.54% (68% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントagxt

ベンダーJosh-XT

影響範囲修正版

< 1.9.2 – < 1.9.21.9.3

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-04-08
公開日2026-04-09
更新日2026-04-13
EPSS 更新日2026-04-17

緩和策と回避策

この脆弱性への最も効果的な対策は、AGiXTをバージョン1.9.2にアップデートすることです。アップデートがすぐに利用できない場合、一時的な緩和策として、WAF（Web Application Firewall）を導入し、ディレクトリトラバーサル攻撃を検知・ブロックするルールを設定することを推奨します。また、エージェントワークスペースのアクセス権を厳格に制限し、不要なファイルの書き込みを禁止することで、攻撃の影響範囲を限定できます。アップデート後、ファイルシステムの整合性を確認し、不正なファイルが存在しないことを確認してください。

修正方法翻訳中…

Actualice AGiXT a la versión 1.9.2 o posterior para mitigar la vulnerabilidad de recorrido de directorios. Esta actualización corrige la validación incorrecta de las rutas de archivo, evitando que los atacantes accedan a archivos arbitrarios en el servidor.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-39981 — Path Traversal in AGiXTとは何ですか？