プラットフォーム
nodejs
コンポーネント
taskflow-ai
修正版
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.1.6
2.1.7
2.1.8
2.1.9
2.1.9
Agions taskflow-ai のバージョン 2.1.8 までの terminal_execute コンポーネントにおいて、コマンドインジェクションの脆弱性が発見されました。この脆弱性は、攻撃者がOSコマンドを実行できる可能性があり、システムへの深刻な影響をもたらす可能性があります。影響を受けるバージョンは 2.1.8 以前であり、バージョン 2.1.9 へのアップデートによってこの問題は解決されています。
Agionsのtaskflow-aiのバージョン2.1.8までの脆弱性が発見されました。この脆弱性は、src/mcp/server/handlers.tsファイル内のterminal_executeコンポーネントに存在します。攻撃者は、不明な関数の入力を操作することでこの脆弱性を悪用し、基盤となるシステム上で任意のオペレーティングシステムコマンドを実行できる可能性があります。この脆弱性の深刻度はCVSS 6.3と評価されており、中程度のリスクを示しています。攻撃が成功すると、システムの侵害、機密データの盗難、サービス拒否につながる可能性があります。システムを保護するために、この脆弱性を対処することが重要です。
この脆弱性はterminal_executeコンポーネントに存在し、src/mcp/server/handlers.tsファイル内での入力処理方法に影響を与えます。攻撃者は、悪意のある入力を利用して、taskflow-aiプロセスの権限で実行されるオペレーティングシステムコマンドを挿入する可能性があります。この脆弱性のリモート性質は、攻撃者がこの脆弱性を悪用するためにシステムへの物理的なアクセスを必要としないことを意味します。影響を受ける特定の関数に関する詳細情報がないため、正確な影響評価は困難ですが、オペレーティングシステムのコマンドインジェクションの可能性は重大な懸念事項です。
Organizations deploying taskflow-ai in production environments, particularly those with internet-facing deployments, are at risk. Environments where user input is directly incorporated into system commands without proper sanitization are especially vulnerable. Shared hosting environments utilizing taskflow-ai should be prioritized for patching.
• nodejs: Monitor process execution for suspicious commands originating from the taskflow-ai process.
Get-Process taskflow-ai | Select-Object -ExpandProperty CommandLine | Select-String -Pattern "[a-zA-Z]:\"• linux / server: Examine system logs for unusual command executions related to the taskflow-ai process.
journalctl -u taskflow-ai | grep -i 'command injection'• generic web: Check access logs for requests containing suspicious characters or patterns that could be indicative of command injection attempts.
grep -i 'command injection' /var/log/apache2/access.logdisclosure
エクスプロイト状況
EPSS
1.23% (79% パーセンタイル)
CISA SSVC
推奨される解決策は、taskflow-aiをバージョン2.1.9以降にアップグレードすることです。このバージョンには、オペレーティングシステムのコマンドインジェクション脆弱性を軽減する特定の修正(commit c1550b445b9f24f38c4414e9a545f5f79f23a0fe)が含まれています。アップグレードする前に、構成とデータをバックアップすることをお勧めします。直ちにアップグレードできない場合は、terminal_executeコンポーネントへのアクセスを制限したり、疑わしいアクティビティを監視したりするなど、追加のセキュリティ対策を実装することを検討してください。ベンダーは連絡を取り、非常に積極的に対応しています。
Actualice el componente taskflow-ai a la versión 2.1.9 o superior para mitigar la vulnerabilidad de inyección de comandos del sistema operativo. La actualización incluye una corrección específica (c1550b445b9f24f38c4414e9a545f5f79f23a0fe) que aborda esta vulnerabilidad.
脆弱性分析と重要アラートをメールでお届けします。
これは、攻撃者が基盤となるオペレーティングシステム上で任意のコマンドを実行できる脆弱性です。
taskflow-aiのバージョンが2.1.9より前の場合は、影響を受けている可能性が高いです。
アクセスを制限したり、アクティビティを監視したりするなど、追加のセキュリティ対策を実装してください。
はい、ベンダーは連絡を取り、積極的に対応しています。
taskflow-aiのドキュメントとサイバーセキュリティ情報リソースを参照してください。
CVSS ベクトル