MEDIUMCVE-2026-5752

CVE-2026-5752

プラットフォーム

javascript

コンポーネント

cohere-terrarium

修正版

1.0.2

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-5752は、cohere-terrariumのバージョン1.0.0から1.0.1において発見されたサンドボックス脱出の脆弱性です。この脆弱性を悪用されると、攻撃者はJavaScriptプロトタイプチェーンのトラバーサルを通じて、ホストプロセスでroot権限を持つ任意のコードを実行できてしまいます。バージョン1.0.2でこの問題が修正されており、影響を受けるシステムは速やかにアップデートする必要があります。

影響と攻撃シナリオ

このサンドボックス脱出脆弱性は、非常に深刻な影響をもたらす可能性があります。攻撃者は、脆弱なcohere-terrariumインスタンスを介して、ホストシステム上で任意のコードを実行できるようになります。これにより、機密情報の窃取、マルウェアのインストール、システム全体の制御奪取といった攻撃が可能になります。特に、cohere-terrariumがroot権限で実行されている場合、攻撃者の影響範囲はシステム全体に及ぶ可能性があります。この脆弱性は、他のサンドボックス脱出脆弱性と同様に、攻撃者が隔離された環境からシステムへのアクセス権を獲得するための強力な手段となり得ます。

悪用の状況

CVE-2026-5752は、2026年4月14日に公開されました。現時点では、この脆弱性を悪用する公開されているPoC（Proof of Concept）は確認されていませんが、サンドボックス脱出の脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVリストへの登録状況は不明です。この脆弱性の悪用は、他のサンドボックス脱出脆弱性と同様に、攻撃者にとって魅力的な標的となる可能性があります。

リスク対象者翻訳中…

Organizations utilizing cohere-terrarium for sandboxing or code execution are at risk, particularly those relying on versions 1.0.0 through 1.0.1. Environments where Terrarium is used to execute untrusted code or process user-supplied data are especially vulnerable. Development teams using Terrarium for testing or experimentation should also prioritize patching.

検出手順翻訳中…

• javascript / sandbox:

// Monitor for prototype chain modifications within the Terrarium sandbox.
// This is a simplified example and requires adaptation to the specific Terrarium implementation.
Object.prototype.__proto__ = { malicious: 'code' };

• javascript / sandbox: Inspect JavaScript code for prototype manipulation attempts. • javascript / sandbox: Review Terrarium configuration for overly permissive sandbox settings.

攻撃タイムライン

2026-04-14Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.03% (8% パーセンタイル)

影響を受けるソフトウェア

コンポーネントcohere-terrarium

ベンダーCohere

影響範囲修正版

1.0.1 – 1.0.11.0.2

弱点分類 (CWE)

CWE-94 CWE-400 CWE-284

タイムライン

予約済み2026-04-07
公開日2026-04-14
更新日2026-04-23
EPSS 更新日2026-04-22

緩和策と回避策

この脆弱性への最も効果的な対策は、cohere-terrariumをバージョン1.0.2にアップデートすることです。アップデートがすぐに利用できない場合、サンドボックスのセキュリティ強化を試みることができます。例えば、JavaScriptプロトタイプチェーンのトラバーサルを制限するセキュリティポリシーを実装したり、cohere-terrariumの実行権限を最小限に抑えるなどの対策が考えられます。また、WAF（Web Application Firewall）を導入し、悪意のあるJavaScriptコードの実行をブロックすることも有効です。アップデート後、システムログを監視し、異常なアクティビティがないか確認してください。

修正方法

サンドボックス脱出の脆弱性を軽減するために、バージョン1.0.2以降にアップデートしてください。このアップデートは、JavaScriptプロトタイプの操作を介したroot権限を持つ任意のコード実行の可能性に対処します。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5752 — サンドボックス脱出はcohere-terrariumで何ですか？

CVE-2026-5752は、cohere-terrariumのバージョン1.0.0–1.0.1におけるJavaScriptプロトタイプチェーンのトラバーサルを悪用し、ホストプロセスでroot権限を持つ任意のコードを実行できる脆弱性です。

CVE-2026-5752はcohere-terrariumで影響を受けますか？

はい、cohere-terrariumのバージョン1.0.0から1.0.1を使用している場合は、CVE-2026-5752の影響を受けます。バージョン1.0.2にアップデートしてください。

CVE-2026-5752はcohere-terrariumをどのように修正しますか？

CVE-2026-5752は、cohere-terrariumをバージョン1.0.2にアップデートすることで修正できます。アップデートができない場合は、一時的な緩和策として、サンドボックスのセキュリティ強化を検討してください。

CVE-2026-5752は積極的に悪用されていますか？

現時点では、CVE-2026-5752を悪用する公開されているPoCは確認されていませんが、サンドボックス脱出の脆弱性は悪用される可能性が高いため、注意が必要です。

CVE-2026-5752のcohere-terrariumの公式アドバイザリはどこで入手できますか？

cohere-terrariumの公式アドバイザリは、cohereのセキュリティ情報ページで確認できます。詳細は、cohereのウェブサイトを参照してください。