MEDIUMCVE-2026-5023CVSS 5.3

DeDeveloper23 codebase-mcp RepoMix codebase.ts saveCodebase OSコマンドインジェクション (os command injection)

Q: codebase-mcp の CVE-2026-5023 による影響を受けていますか？

codebase-mcpのバージョンが`3ec749d237dd8eabbeef48657cf917275792fde6`より前の場合は、影響を受けます。

プラットフォーム

nodejs

コンポーネント

codebase-mcp

修正版

3.0.1

AI Confidence: highNVDEPSS 0.5%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-5023 は、codebase-mcp に存在するコマンドインジェクションの脆弱性です。この脆弱性は、src/tools/codebase.ts ファイル内の getCodebase/getRemoteCodebase/saveCodebase 関数に影響を与えます。RepoMix Command Handler の操作が原因で、攻撃者は任意のコマンドを実行できる可能性があります。影響を受けるバージョンは ≤3ec749d237dd8eabbeef48657cf917275792fde6 です。現時点では公式な修正パッチは提供されていません。

影響と攻撃シナリオ

DeDeveloper23 codebase-mcpにおいて、getCodebase/getRemoteCodebase/saveCodebase関数（src/tools/codebase.tsファイル内のRepoMix Command Handlerコンポーネント内）におけるコマンドインジェクションの脆弱性が確認されました。影響を受けるバージョンは、commit 3ec749d237dd8eabbeef48657cf917275792fde6より前のものです。この脆弱性により、攻撃者はアプリケーションが実行されているシステム上で任意のオペレーティングシステム（OS）コマンドを実行できる可能性があり、システムデータとリソースの機密性、完全性、および可用性を損なう可能性があります。この脆弱性の性質上、攻撃はローカルで実行する必要があります。つまり、システムへのアクセス権を持つユーザーがこの脆弱性を悪用できます。脆弱性の公開により、悪用のリスクが高まります。

悪用の状況

この脆弱性は、getCodebase/getRemoteCodebase/saveCodebase関数に提供される入力を操作することによって悪用されます。この操作により、オペレーティングシステムのコマンドを挿入でき、それらのコマンドはアプリケーションプロセスの権限で実行されます。悪用にはローカルアクセスが必要なため、攻撃者はcodebase-mcpが実行されているシステムと直接対話できる必要があります。脆弱性の公開により、攻撃者はこの脆弱性を悪用する方法に関する情報にアクセスできる可能性があり、標的型攻撃のリスクが高まります。特定の修正プログラム（fix）がないため、最新バージョンに更新することがさらに重要になります。

リスク対象者翻訳中…

Development teams using codebase-mcp within their Node.js applications are at risk. Specifically, those deploying applications with local access to the codebase-mcp component, or those with inadequate access controls, are particularly vulnerable. Environments where local user accounts have elevated privileges are also at increased risk.

検出手順翻訳中…

• nodejs / server:

ps aux | grep codebase-mcp

• nodejs / server:

journalctl -u codebase-mcp -f | grep -i "command injection"

• generic web:

curl -I http://your-server/getCodebase/getRemoteCodebase/saveCodebase | grep -i "command injection"

攻撃タイムライン

2026-03-29Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

レポート1 脅威レポート

EPSS

0.51% (66% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントcodebase-mcp

ベンダーDeDeveloper23

影響範囲修正版

3ec749d237dd8eabbeef48657cf917275792fde6 – 3ec749d237dd8eabbeef48657cf917275792fde63.0.1

弱点分類 (CWE)

CWE-78 CWE-77

タイムライン

予約済み2026-03-27
公開日2026-03-29
更新日2026-03-30
EPSS 更新日2026-04-04

未パッチ — 公開から56日経過

緩和策と回避策

codebase-mcpは継続的なリリース（rolling release）モデルを採用しているため、推奨される解決策は、最新の利用可能なバージョンに更新することです。更新により、最新のセキュリティパッチが適用されます。CVEレポートに特定の修正プログラム（fix）が提供されていない場合でも、rolling releaseプロセスにより、更新が実装されるにつれて脆弱性が軽減されるはずです。最新の更新を監視し、利用可能になり次第最新バージョンに適用することが重要です。さらに、ローカルのアクセス制御ポリシーをレビューおよび強化して、内部ユーザーによる悪用のリスクを制限する必要があります。

修正方法

codebase-mcp パッケージを、3ec749d237dd8eabbeef48657cf917275792fde6 以降のバージョンにアップデートしてください。利用可能なバージョンがない場合は、ソースコードを確認し、OSコマンドインジェクションを防ぐために必要な修正を適用することをお勧めします。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5023 とは何ですか？（codebase-mcp の Command Injection）

rolling releaseモデルとは、より大きく、個別のバージョンではなく、定期的に継続的に更新を公開するモデルです。これにより、セキュリティパッチの配信が迅速になります。

codebase-mcp の CVE-2026-5023 による影響を受けていますか？

codebase-mcpのバージョンが3ec749d237dd8eabbeef48657cf917275792fde6より前の場合は、影響を受けます。

codebase-mcp の CVE-2026-5023 を修正するにはどうすればよいですか？

すぐに更新できない場合は、より厳格なアクセス制御を実装し、悪用の兆候がないかシステムアクティビティを監視することを検討してください。

CVE-2026-5023 は積極的に悪用されていますか？

いいえ、悪用にはシステムへのローカルアクセスが必要です。

CVE-2026-5023 に関する codebase-mcp の公式アドバイザリはどこで確認できますか？

CVE-2026-5023で詳細情報を入手できます。