概要 `wrangler pages deploy` コマンドにコマンドインジェクションの脆弱性（CWE-78）が存在することが判明しました。この問題は、`--commit-hash` パラメータが適切に検証およびサニタイズされずにシェルコマンドに直接渡されるために発生し、`--commit-hash` を制御できる攻撃者が Wrangler を実行しているシステム上で任意のコマンドを実行できる可能性があります。 根本原因として、コマンドライン引数の --commit-hash から取得した commitHash 変数がテンプレートリテラルを用いてシェルコマンドに直接埋め込まれており（例: execSync(`git show -s --format=%B ${commitHash}`)）、シェルのメタ文字が解釈されてコマンド実行が可能となっています。 影響として、この脆弱性は `--commit-hash` を攻撃者が制御できることが前提であるため、悪用は一般的に困難です。主に `wrangler pages deploy` が自動化パイプラインで使用され、外部の信頼できないソースから `--commit-hash` パラメータが注入される CI/CD 環境に影響します。攻撃者は以下のような悪用を行う可能性があります：* 任意のシェルコマンドを実行すること。* 環境変数を漏洩させること。* CI ランナーを乗っ取り、バックドアの設置やビルド成果物の改ざんを行うこと。 クレジット この脆弱性は kny4hacker によって責任ある開示が行われました。 緩和策として、* Wrangler v4 ユーザーは Wrangler v4.59.1 以上にアップグレードしてください。* Wrangler v3 ユーザーは Wrangler v3.114.17 以上にアップグレードしてください。* サポート終了の Wrangler v2 ユーザーは、サポートされているメジャーバージョンにアップグレードしてください。

参考情報を参照して適切な対策を実施してください。