何が起きたか
NVD は 2026-06-23 に Daytona 向けに 5 つの CVE を公開しました。これらは AI コード実行ランタイム全体の認可フロー に関するものです: 未確認メール組織招待受け入れ (CVSS 8.4)、ロール管理のクロステナント IDOR (CVSS 7.7)、認証済み Git クローン中の TLS 証明書検証無効化 (CVSS 5.9)、テナント分離なし WebSocket 通知チャネル (CVSS 6.5)、およびサンドボックスマウントのボリュームパストラバーサル (CVSS 4.2)。
なぜ重要か
Daytona は AI が生成したコード実行とエージェント型ワークフロー用の安全なインフラストラクチャとして目的構築されています。認可障害はここでは、AI コード実行を安全にするサンドボックス分離を直接損なうものです。Git クローン中の TLS バイパス経由での認証情報窃盗は、プライベートリポジトリにアクセスするために使用される認証情報をターゲットするため、特に危険です。これらのリポジトリには AI エージェントコードが含まれています。
攻撃経路
複数のベクトル: (1) 未確認メールが組織招待を受け入れでき、AI 実行環境へのアクセス権を取得する (CVE-2026-54320)、(2) 組織ロール更新/削除エンドポイントが URL パスではなくリクエストボディでターゲットを解決し、クロスオルグ IDOR 特権昇格を可能にする (CVE-2026-54322)、(3) 認証情報を使用した Git クローンが TLS 検証を無効化し、MitM 経由での認証情報窃盗を可能にする (CVE-2026-54323)、(4) 通知 WebSocket にテナント分離がなく、クロスオルグデータリークを可能にする (CVE-2026-54324)、(5) サンドボックスマウントのボリュームパストラバーサル (CVE-2026-54319)
影響を受けるシステム
Daytona < 0.184.0 (CVE-2026-54320)、< 0.185.0 (CVE-2026-54322、CVE-2026-54323、CVE-2026-54324)、< 0.186 (CVE-2026-54319)
緩和策
Daytona を CVE ごとの最新バージョンにアップグレードしてください: CVE-2026-54320 の場合 0.184.0+、CVE-2026-54322/54323/54324 の場合 0.185.0+、CVE-2026-54319 の場合 0.186+。アドバイザリ: https://github.com/daytonaio/daytona/security/advisories/