| Title | Open JS FoundationのWebdriverIOにおけるOS コマンドインジェクションの脆弱性 |
|---|---|
| Summary | WebdriverIOは、WebDriver、WebDriver BiDi、およびAppiumを使用したユニットテスト、エンドツーエンドテスト、コンポーネントテストのためのテスト自動化フレームワークです。バージョン9.24.0未満には、テストオーケストレーションにおいてリモートコード実行(RCE)につながるコマンドインジェクションの脆弱性があります。Gitはシェルのメタ文字を含むブランチ名を許可しており、getGitMetadataForAISelection()はこれらの名前をサニタイズせずに直接execSync()呼び出しに挿入します。攻撃者は悪意のあるリポジトリ(testOrchestrationOptions.runSmartSelection.source経由、もしくは未設定の場合は現在のディレクトリ)を提供し、そのブランチ名にペイロードを含めることでシェル上で任意のコードを実行させることが可能です。これによりCI/CDサーバーや開発者マシン上でリモートコード実行が可能となり、認証情報や秘密情報の漏洩、ソースコードおよびSSHキーの持ち出し、システムの乗っ取り、改ざんされたビルド成果物を用いたサプライチェーン攻撃を招きます。本問題はバージョン9.24.0で修正されています。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 18, 2026, midnight |
| Registration Date | May 21, 2026, 10:55 a.m. |
| Last Update | May 21, 2026, 10:55 a.m. |
| CVSS3.0 : 緊急 | |
| Score | 9.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Open JS Foundation |
| WebdriverIO 9.24.0 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月21日] 掲載 |
May 21, 2026, 10:55 a.m. |
| Summary | WebdriverIO is a test automation framework for unit, e2e and component testing using WebDriver, WebDriver BiDi and Appium. Versions below 9.24.0 contain a command injection vulnerability leading to remote code execution (RCE) in test orchestration. Git permits branch names containing shell metacharacters, and getGitMetadataForAISelection() interpolates these names directly into execSync() calls without sanitization. An attacker can exploit this by supplying a malicious repository (via testOrchestrationOptions.runSmartSelection.source, or the current directory if unset) whose branch name carries a payload, causing the shell to execute arbitrary code. This enables remote code execution on CI/CD servers and developer machines, leading to credential and secret disclosure, source code and SSH key exfiltration, system compromise, and supply chain attacks via tampered build artifacts. The issue has been fixed in version 9.24.0. |
|---|---|
| Publication Date | May 19, 2026, 6:16 a.m. |
| Registration Date | May 20, 2026, 4:11 a.m. |
| Last Update | May 20, 2026, 12:03 a.m. |