HIGHCVE-2026-4092CVSS 7.5

@google/claspにおいて、悪意のあるスクリプトをクローンまたはプルすると、安全でないパストラバーサルが発生する可能性があります

Q: CVE-2026-4092 — Path Traversal in @google/claspとは何ですか？

CVE-2026-4092は、@google/claspにおいて、攻撃者がプロジェクトディレクトリ外のファイルを変更できるPath Traversal脆弱性です。

Q: CVE-2026-4092 in @google/claspの影響はありますか？

はい、影響を受けます。バージョン3.2.0より前の@google/claspを使用している場合、攻撃者は悪意のあるコードを実行できる可能性があります。

Q: CVE-2026-4092 in @google/claspを修正するにはどうすればよいですか？

@google/claspをバージョン3.2.0以降にアップデートしてください。アップデートが難しい場合は、信頼できるソースからのスクリプトの取り扱いを制限してください。

Q: CVE-2026-4092は積極的に悪用されていますか？

現時点では、積極的に悪用されているという報告はありません。

Q: CVE-2026-4092に関する@google/claspの公式アドバイザリはどこで入手できますか？

公式アドバイザリは、@google/claspのリリースノートまたはGoogleのセキュリティアナウンスメントで確認してください。

プラットフォーム

nodejs

コンポーネント

@google/clasp

修正版

3.2.1

3.2.0

AI Confidence: highNVDEPSS 1.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-4092は、@google/claspにおけるPath Traversal脆弱性です。この脆弱性を悪用されると、攻撃者はプロジェクトディレクトリ外のファイルを変更し、開発者のマシン上で悪意のあるコードを実行する可能性があります。影響を受けるバージョンは3.2.0より前のバージョンです。2026年3月13日に公開され、バージョン3.2.0で修正されました。

影響と攻撃シナリオ

このPath Traversal脆弱性は、攻撃者がプロジェクトのディレクトリ構造を迂回し、意図しないファイルにアクセスしたり、変更したりすることを可能にします。具体的には、攻撃者はpullやcloneコマンドを通じて、プロジェクトディレクトリ外のファイルを書き換えることができ、その結果、悪意のあるスクリプトを挿入したり、既存のファイルを改ざんしたりする可能性があります。これにより、開発者のマシン上で攻撃者のコードが実行される危険性があります。この脆弱性は、特に信頼できないソースからスクリプトをクローンまたはプルする場合に深刻な脅威となります。

悪用の状況

CVE-2026-4092は、2026年3月13日に公開されました。現時点では、この脆弱性に対する公開されているPoCは確認されていません。CISA KEVカタログへの登録状況は不明です。攻撃の可能性は、信頼できないソースからのスクリプトの取り扱いによって左右されます。

リスク対象者翻訳中…

Developers using @google/clasp to develop Google Apps Script projects are at risk, particularly those who frequently clone or pull scripts from external sources or use older, unpatched versions of the library. Shared hosting environments where multiple developers use the same @google/clasp installation are also at increased risk.

検出手順翻訳中…

• nodejs / clasp:

find / -name clasp.cmd -o -name clasp.sh -print0 | xargs -0 grep -i 'pull|clone'

• nodejs / clasp: Check for unusual files or modifications within the Google Apps Script project directories after a pull or clone operation. • nodejs / clasp: Review the output of npm audit for vulnerabilities in dependencies used by the project.

攻撃タイムライン

2026-03-13Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

1.03% (77% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネント@google/clasp

ベンダーosv

影響範囲修正版

< 3.2.0 – < 3.2.03.2.1

—3.2.0

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-03-12
公開日2026-03-13
更新日2026-03-16
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、まず@google/claspをバージョン3.2.0以降にアップデートすることを推奨します。アップデートが困難な場合は、信頼できるソースからのスクリプトのクローンまたはプルのみを許可するように制限してください。また、pullおよびcloneコマンドの出力を注意深く確認し、予期しないファイルが変更されていないことを確認することが重要です。WAFやプロキシルールによる対策は、この脆弱性に対して直接的な効果は期待できません。

修正方法

Claspをバージョン3.2.0以降にアップデートしてください。このバージョンでは、リモートコード実行を可能にするPath Traversalの脆弱性が修正されています。`npm install -g @google/clasp`コマンドを使用して、パッケージマネージャnpmでClaspをアップデートできます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-4092 — Path Traversal in @google/claspとは何ですか？