技術的な説明
Lumiverse (MCP サーバー対応の AI チャットアプリケーション) に対して 3 つの重大な脆弱性が 5 月 26 日に公開され、すべてバージョン 0.9.7 で修正されました。CVE-2026-44450 (CVSS 9.9): MCP サーバー作成エンドポイントは command フィールドをバイナリ名の許可リストに対して検証しますが、args 配列を検証なしで子プロセスに転送します。インラインコードを受け入れる許可リスト化されたバイナリ (例: node -e、python -c) を使用して任意コード実行を実現できます。CVE-2026-44451 (CVSS 9.3): コンポーネントオーバーライドシステムは、ユーザー提供の TSX を Sucrase 経由で転置し、浅いグローバルシャドーイングのみで new Function() で評価します。__proto__ または間接 eval パスを使用したサンドボックス脱出により完全なコード実行が実現されます。CVE-2026-44444 (CVSS 9.1): Spindle 拡張機能ビルドパイプラインは安全性スキャン前に --ignore-scripts なしで bun install を実行します。これにより悪意のある拡張機能の preinstall/postinstall フックがスキャン前に任意コードを実行できます。
攻撃経路
CVE-2026-44450: 攻撃者がコード実行引数を持つ許可リスト化されたバイナリ (node、python) を指定して MCP サーバーを作成します。追加の特権は必要ありません。CVE-2026-44451: 攻撃者がコンポーネントオーバーライドとして悪意のある TSX を提供します。プロトタイプポリューション或いは間接 eval によるサンドボックス脱出です。CVE-2026-44444: 攻撃者が npm ライフサイクルスクリプトを含む悪意のある拡張機能パッケージを提供します。安全性スキャン実行前に実行されます。
影響を受けるシステム
0.9.7 より前の Lumiverse バージョン。Lumiverse の MCP サーバー作成または拡張機能/コンポーネントオーバーライド機能を使用している AI チャットアプリケーション。
緩和策
直ちに Lumiverse 0.9.7 にアップグレードしてください。Lumiverse 以外にも適用可能な多層防御パターンとして: (1) MCP サブプロセス呼び出しに対して command と args の両方を検証および許可リスト化してください。バイナリのみの許可リストは不十分です。(2) AI 拡張機能パイプラインのすべての依存関係インストールで --ignore-scripts を使用してください。(3) サンドボックス内で転置された場合でも、ユーザー提供のコンポーネントコードを信頼できないものとして扱ってください。