CVE-2026-4946は、Ghidraの自動抽出されたバイナリデータに埋め込まれたアノテーションディレクティブの不適切な処理に起因する、リモートコマンド実行(RCE)の脆弱性です。攻撃者は、細工されたバイナリを通じて、解析者のマシン上で任意のコマンドを実行できます。この脆弱性は、バージョン0から12.0.3までのGhidraに影響します。バージョン12.0.3で修正されました。
Ghidra の CVE-2026-4946 は、CVSS スコア 8.8 の重大なセキュリティ脆弱性であり、注釈指示の操作を通じて任意のコード実行を可能にします。12.0.3 より前の Ghidra のバージョンは、自動的に抽出されたバイナリデータに埋め込まれた注釈指示を不適切に処理します。攻撃者は、自動分析(Mach-O バイナリの CFStrings など)中に生成されたコメント内に @execute 注釈(信頼できるユーザー作成コメントを目的としています)を含む悪意のあるバイナリを作成できます。アナリストが UI とやり取りし、これらの注釈を含む一見無害なテキストをクリックすると、任意のコードが実行されます。これは、特に信頼できない可能性のあるソースからのソフトウェアを分析する場合、重大なリスクをもたらします。
この脆弱性の悪用には、特別に作成された悪意のあるバイナリファイルが必要です。攻撃者は、自動分析中に生成されたコメント(Mach-O ファイルの CFStrings など)内に @execute 注釈を埋め込む必要があります。アナリストが脆弱なバージョンの Ghidra でこのバイナリファイルを開き、注釈を含むテキストをクリックすると、注釈で指定されたコードが実行されます。困難な点は、悪意のあるバイナリファイルを作成することですが、作成されたら、悪用は比較的簡単で、Ghidra UI とのユーザーのやり取りに依存します。
Security researchers, reverse engineers, malware analysts, and anyone using Ghidra to analyze potentially malicious binaries are at significant risk. Organizations that rely on Ghidra for threat intelligence or incident response are particularly vulnerable. Users who routinely analyze binaries from untrusted sources are at the highest risk.
• windows / supply-chain: Monitor Ghidra processes for unusual command-line arguments or spawned processes. Use Sysinternals Process Monitor to observe file system and registry activity related to Ghidra.
Get-Process -Name Ghidra | Select-Object -ExpandProperty CommandLine• linux / server: Examine Ghidra's log files for errors or suspicious activity related to annotation parsing. Use lsof to identify any unusual files or network connections associated with the Ghidra process.
lsof -p $(pidof Ghidra)• generic web: While not directly applicable to a desktop application, monitor network traffic to and from Ghidra instances for unusual patterns or connections to external command-and-control servers.
disclosure
patch
エクスプロイト状況
EPSS
0.05% (15% パーセンタイル)
CISA SSVC
この脆弱性に対する推奨される軽減策は、Ghidra バージョン 12.0.3 以降にアップグレードすることです。このバージョンは、自動生成されたコメント内の @execute 注釈指示の不適切な処理を修正します。アップグレードが完了するまで、信頼できないソースからのバイナリファイルの分析を避けてください。さらに、脆弱なバージョンの Ghidra で実行された最近の分析を、悪用の兆候がないか確認してください。アップグレードは、CVE-2026-4946 に関連するリスクを排除するための最も効果的な方法です。
Actualice Ghidra a la versión 12.0.3 o posterior. Esta versión corrige la vulnerabilidad que permite la ejecución de comandos arbitrarios a través de directivas de anotación maliciosas en datos binarios extraídos automáticamente.
脆弱性分析と重要アラートをメールでお届けします。
Ghidra 内の注釈指示であり、任意のコードを実行するように設計されています。通常はユーザー作成のコメントに使用されますが、この脆弱性により、自動生成されたコメントからトリガーできます。
macOS および iOS で使用される実行可能ファイル形式です。脆弱性は、悪意のある注釈を含む Mach-O ファイルを分析するときに発生します。
12.0.3 より前のバージョンの Ghidra を使用している場合は、脆弱です。バージョンは「ヘルプ」->「Ghidra について」メニューで確認できます。
これらの分析の結果を注意深く確認し、予期しない動作がないか探してください。潜在的な持続的な影響を避けるために、Ghidra バージョン 12.0.3 以降を再インストールすることを検討してください。
バージョン 12.0.3 以降にアップデートしないと、効果的な軽減策はありません。信頼できないソースからのファイルの分析を避けることが唯一の代替手段です。
CVSS ベクトル
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。