MEDIUMCVE-2026-5557CVSS 6.3

CVE-2026-5557: Authentication Bypass in pi-mono

プラットフォーム

nodejs

コンポーネント

pi-mono

修正版

0.58.1

0.58.2

0.58.3

0.58.4

0.58.5

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-5557は、badlogicのpi-monoにおいて検出された認証回避の脆弱性です。この脆弱性は、pi-mom Slack Botのpackages/mom/src/slack.tsファイルの処理に起因します。攻撃者は代替チャネルを利用することで認証を回避でき、リモートから実行可能です。影響を受けるバージョンは0.58.0から0.58.4です。既に公開されており、悪用される可能性があります。

影響と攻撃シナリオ

この認証回避脆弱性を悪用されると、攻撃者は認証なしでSlack Botにアクセスし、機密情報を盗み出したり、不正な操作を実行したりする可能性があります。特に、Slack Botが機密情報を扱う場合、その影響は甚大です。攻撃者は、認証されたユーザーになりすまして、他のシステムへのアクセス権を得るための足がかりとしてSlack Botを利用する可能性もあります。この脆弱性は、類似の認証回避脆弱性と同様に、攻撃者にとって魅力的な標的となるでしょう。

悪用の状況

CVE-2026-5557は、2026年4月5日に公開されました。既に公開されているため、攻撃者による悪用が懸念されます。CISAのKEVリストへの登録状況は不明ですが、公開されているPoCが存在するため、悪用される可能性は高いと考えられます。攻撃者による活発なキャンペーンの実施は、現時点では確認されていません。

リスク対象者翻訳中…

Organizations using pi-mono in their Slack bot integrations, particularly those relying on the default authentication mechanisms, are at significant risk. Shared hosting environments where multiple users share the same pi-mono instance are also particularly vulnerable, as an attacker could potentially compromise the bot and gain access to other users' data.

検出手順翻訳中…

• nodejs: Monitor process execution for suspicious activity related to slack.ts.

Get-Process -Name 'pi-mono' | Select-Object -ExpandProperty Path

• nodejs: Check for unauthorized modifications to the packages/mom/src/slack.ts file using file integrity monitoring tools. • generic web: Monitor access logs for requests targeting the vulnerable endpoint.

grep 'slack.ts' /var/log/nginx/access.log

攻撃タイムライン

2026-04-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.06% (18% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントpi-mono

ベンダーbadlogic

影響範囲修正版

0.58.0 – 0.58.00.58.1

0.58.1 – 0.58.10.58.2

0.58.2 – 0.58.20.58.3

0.58.3 – 0.58.30.58.4

0.58.4 – 0.58.40.58.5

弱点分類 (CWE)

CWE-288 CWE-287

タイムライン

予約済み2026-04-04
公開日2026-04-05
更新日2026-04-06
EPSS 更新日2026-04-12

未パッチ — 公開から49日経過

緩和策と回避策

この脆弱性への対応策として、まずpi-monoを最新バージョンにアップデートすることが推奨されます。アップデートが困難な場合は、Slack Botへのアクセスを制限するファイアウォールルールを実装したり、認証プロセスを強化するなどの対策を講じる必要があります。また、Slack Botのログを監視し、不審なアクティビティがないか確認することも重要です。WAFやプロキシサーバーを利用して、悪意のあるリクエストをブロックすることも有効です。

修正方法

pi-mono パッケージを修正されたバージョンにアップデートしてください。CVE の説明では、この脆弱性は 0.58.0 から 0.58.4 までのバージョンに存在すると示されているため、認証バイパスのリスクを軽減するために、最新の利用可能なバージョンにアップデートすることをお勧めします。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5557 — 認証回避の脆弱性はpi-monoで何が起こりますか？

CVE-2026-5557は、pi-mono 0.58.0～0.58.4において、Slack Botの認証回避脆弱性です。攻撃者は代替チャネルを利用して認証を回避可能で、リモートから実行可能です。

CVE-2026-5557の脆弱性pi-monoで影響を受けますか？

pi-monoのバージョン0.58.0から0.58.4を使用している場合は、この脆弱性の影響を受けます。最新バージョンにアップデートすることを推奨します。

CVE-2026-5557の脆弱性pi-monoを修正するにはどうすればよいですか？

pi-monoを最新バージョンにアップデートしてください。アップデートが困難な場合は、アクセス制限や認証プロセスの強化などの対策を講じる必要があります。

CVE-2026-5557の脆弱性が積極的に悪用されていますか？

既に公開されており、悪用される可能性は高いと考えられます。攻撃者による活発なキャンペーンの実施は、現時点では確認されていません。

CVE-2026-5557の脆弱性に関するpi-monoの公式アドバイザリはどこで入手できますか？

現時点では、公式アドバイザリは公開されていません。badlogicのウェブサイトやGitHubリポジトリで最新情報を確認してください。