技術的な説明
MCP サーバーサポートを備えた AI チャットアプリケーション Lumiverse に対して、5 月 26 日に 3 つの重大な脆弱性が公開され、すべてバージョン 0.9.7 で修正されました。CVE-2026-44450(CVSS 9.9):MCP サーバー作成エンドポイントは command フィールドをバイナリ名のホワイトリストに対して検証しますが、args 配列を検証なしで子プロセスに転送します。インラインコードを受け入れるホワイトリスト登録されたバイナリ(node -e、python -c など)を使用して任意のコード実行を実現できます。CVE-2026-44451(CVSS 9.3):コンポーネント上書きシステムは、ユーザー提供の TSX を Sucrase 経由でトランスパイルし、浅いグローバルシャドウイングのみで new Function() で評価します。__proto__ または間接的な eval パスを使用したサンドボックス脱出により、完全なコード実行が実現されます。CVE-2026-44444(CVSS 9.1):Spindle 拡張機能ビルドパイプラインは、安全性スキャン前に --ignore-scripts なしで bun install を実行します。これにより、悪意のある拡張機能の preinstall/postinstall フックがスキャンされる前に任意のコードを実行できます。
攻撃経路
CVE-2026-44450:攻撃者はホワイトリスト登録されたバイナリ(node、python)を指定するコード実行引数を持つ MCP サーバーを作成します。追加の権限は不要です。CVE-2026-44451:攻撃者がコンポーネント上書きとして悪意のある TSX を提供します。プロトタイプポルーション または間接的な eval 経由でサンドボックス脱出が実現されます。CVE-2026-44444:攻撃者が npm ライフサイクルスクリプトを含む悪意のある拡張機能パッケージを提供します。安全性スキャン実行前に実行されます。
影響を受けるシステム
0.9.7 より前の Lumiverse バージョン。Lumiverse の MCP サーバー作成機能または拡張機能/コンポーネント上書き機能を使用している AI チャットアプリケーション。
緩和策
直ちに Lumiverse 0.9.7 にアップグレードしてください。Lumiverse を超えた適用可能な多層防御パターンとして:(1)MCP サブプロセス呼び出しのコマンドと引数の両方を検証してホワイトリスト登録します。バイナリのみのホワイトリストは不十分です。(2)AI 拡張機能パイプラインのすべての依存関係インストールで --ignore-scripts を使用します。(3)トランスパイルされたサンドボックス内であっても、ユーザー提供のコンポーネントコードを信頼されていないものとして扱います。