CVEウォッチ

CVE-2026-27626: OliveTinにおけるOSコマンドインジェクションの脆弱性について

February 25, 2026 ·

概要

脆弱性の概要

OliveTinは、Webインターフェースを通じて定義済みのシェルコマンドを実行できるツールです。この度、バージョン3000.10.0以前のOliveTinにおいて、OSコマンドインジェクションの脆弱性「CVE-2026-27626」が報告されました。この脆弱性には主に二つの経路があります。一つは、password型の引数がシェル安全チェックを迂回し、認証されたユーザーが任意のOSコマンドを注入できる経路です。もう一つは、Webhookから抽出されたJSON値が型安全チェックを完全にスキップし、未認証の攻撃者がリモートで任意のOSコマンドを実行できる経路です。

影響を受ける製品とバージョン

  • OliveTin バージョン 3000.10.0 およびそれ以前のバージョン

想定される影響

  • 認証済みユーザーによる任意のOSコマンド実行: 認証された攻撃者が、OliveTinプロセスが持つ権限で、ホスト上で任意のOSコマンドを実行する可能性があります。
  • 未認証のリモートコード実行 (RCE): OliveTinインスタンスが外部ソースからのWebhookを受信するように設定されている場合、未認証の攻撃者がリモートから任意のOSコマンドを実行する可能性があります。これはOliveTinの主要なユースケースの一つとされています。
  • 複合的な悪用: 両方の脆弱性経路が悪用された場合、Webhookトリガーアクションを持つシェルモードを使用している任意のOliveTinインスタンスで、未認証のリモートコード実行(RCE)が発生する可能性があります。これにより、システムへの完全な制御奪取につながる恐れがあります。

攻撃成立条件・悪用状況

  • 攻撃成立条件:
    • 経路1 (認証済みユーザー): OliveTinのデフォルト設定でユーザー登録が有効(authType: noneがデフォルト)な環境において、認証されたユーザーがpassword型の引数にシェルメタ文字を注入することで攻撃が成立します。
    • 経路2 (未認証ユーザー): OliveTinインスタンスが外部からのWebhookを受信するように設定されている場合に、未認証の攻撃者がWebhook経由でJSON値を悪用することで攻撃が成立します。
    • 複合的な悪用: シェルモードでWebhookトリガーアクションを使用しているOliveTinインスタンスが、両方の条件を満たす場合に未認証RCEが成立します。
  • 悪用状況: 本脆弱性の悪用状況については、現時点では具体的な報告は確認されていません。しかし、脆弱性の性質上、悪用される可能性は十分に考えられます。

推奨対策

今すぐできる対策

  • パッチの適用: 現時点では、本脆弱性に対する公式のパッチは公開されていません。開発元からの情報に注意し、パッチがリリースされ次第、速やかに適用することを強く推奨します。

中長期的な対策

  • 最小権限の原則: OliveTinプロセスが実行されるユーザーアカウントには、必要最小限の権限のみを付与してください。これにより、万が一脆弱性が悪用された場合でも、被害範囲を限定できる可能性があります。
  • Webアプリケーションファイアウォール (WAF) の導入: WAFを導入し、不審なリクエストやシェルメタ文字を含む入力の検出・ブロックを検討してください。

一時的な緩和策

  • Webhook機能の見直し: 外部からのWebhook受信が必須でない場合は、当該機能を無効にするか、信頼できるソースからのWebhookのみを許可するよう設定を厳格化することを検討してください。
  • 入力値の厳格な検証: OliveTinで定義するシェルコマンドの引数について、可能な限り入力値の型や内容を厳格に検証する仕組みを導入してください。特にpassword型の引数を使用している場合は注意が必要です。
  • 認証設定の強化: 認証が不要な設定(authType: none)を使用している場合は、認証を必須とする設定に変更し、強力なパスワードポリシーを適用してください。

確認方法

  • ご自身のOliveTinインスタンスのバージョンが3000.10.0以前であるかを確認してください。
  • Webhook機能が有効になっているか、また外部からのWebhookを受け入れているかを確認してください。
  • authType: noneが設定されているかを確認してください。

参考情報