badlogic pi-mono loader.ts discoverAndLoadExtensions コードインジェクション

badlogic pi-monoのバージョン0.58.4までのセキュリティ脆弱性が検出されました。この脆弱性は、ファイルpackages/coding-agent/src/core/extensions/loader.ts内のdiscoverAndLoadExtensions関数に存在します。攻撃者はこの関数を操作して、システムに悪意のあるコードを注入できます。リモートでの悪用が可能であり、これは攻撃者が影響を受けたシステムへの物理的なアクセスを必要とせずにこの脆弱性を悪用できることを意味します。エクスプロイトの公開により、リスクが大幅に高まり、悪意のある攻撃者がその使用を容易にします。ベンダーが初期の通知に反応しなかったため、状況が悪化し、ユーザーは公式の解決策や潜在的なパッチまたは軽減策に関する情報なしで残されます。この脆弱性を利用して、攻撃者がシステムの機密性、完全性、および可用性を損なう可能性があります。

Applications and services built using the pi-mono Node.js package, particularly those handling untrusted input, are at risk. This includes web applications, backend APIs, and any Node.js-based tools that rely on pi-mono for extension loading. Developers using pi-mono in their projects and DevOps teams responsible for managing Node.js deployments are also at risk.

• nodejs / server:

find / -name 'packages/coding-agent/src/core/extensions/loader.ts' -print0 | xargs -0 grep -i 'discoverAndLoadExtensions'

• nodejs / server:

npm list pi-mono | grep '0.58.0-0.58.4'

• nodejs / server:

journalctl -u your-node-app -g 'pi-mono' --since "1 hour ago"

1. 2026-04-05Disclosure

   disclosure

1. 予約済み2026-04-04
2. 公開日2026-04-05
3. 更新日2026-04-06
4. EPSS 更新日2026-04-12

ベンダーが解決策を提供していないため、修正バージョンがリリースされるまでpi-monoの使用を避けることを強くお勧めします。pi-monoの使用が絶対に必要である場合は、一時的な軽減策を実装する必要があります。これには、discoverAndLoadExtensions関数へのアクセスを制限し、この関数に提供されるすべての入力を厳密に検証し、システムを悪意のある活動の兆候について継続的に監視することが含まれます。ネットワークセグメンテーションと最小特権の原則も、潜在的な悪用の影響を制限するのに役立ちます。pi-monoに関連するすべてのセキュリティアップデートを常に把握し、利用可能なパッチが公開されるとすぐに適用することが重要です。ベンダーの反応がないことは、この脆弱性の管理における積極的なアプローチを必要とします。