概要
Spring CLI VSCode拡張機能に、攻撃者がユーザーシステム上で任意のコマンドを実行できるコマンドインジェクションの脆弱性(CVE-2026-22718)が発見されました。
この脆弱性は、すでにサポート終了(End-of-Life, EOL)となっているツールを使用している開発者に深刻なリスクをもたらします。影響を受けるすべてのバージョン(0.9.0およびそれ以前)にはパッチが提供されず、直ちに使用を停止し、アンインストールすることが強く推奨されています。
脆弱性の詳細
今回確認された脆弱性は、Spring CLI VSCode拡張機能におけるコマンドインジェクションの欠陥に起因します。この脆弱性を悪用することで、攻撃者は侵害されたシステム上で任意のコマンドを実行することが可能になります。
- CVE ID: CVE-2026-22718
- 脆弱性の種類: コマンドインジェクション
- 影響を受ける製品: Spring CLI VSCode拡張機能
- 影響を受けるバージョン: 0.9.0およびそれ以前(すべてサポート対象外)
- 深刻度: MEDIUM (CVSS v3.1 スコア: 6.8)
この脆弱性はローカルアクセスとユーザーの操作を必要とし、悪用には低い特権で実行可能です。しかし、一度悪用されると、システムの情報機密性および完全性に高い影響を与え、可用性にも限定的な影響を与える可能性があります。
影響とリスク
Spring CLI VSCode拡張機能は、2025年5月14日に公式にサポート終了となっており、数ヶ月間セキュリティアップデートやメンテナンスが提供されていません。そのため、この脆弱性に対する修正パッチは存在しません。
しかし、Spring開発チームは、透明性を確保し、非推奨の拡張機能を開発環境から削除することの重要性を強調するため、このCVEを割り当て、文書化しました。この事実は、EOL後のソフトウェアであっても、潜在的なセキュリティリスクに注意を払う必要があることを示しています。
推奨される対策
最も重要な緩和策は、影響を受けるSpring CLI VSCode拡張機能を開発環境から直ちにアンインストールすることです。パッチバージョンが存在しないため、削除が唯一かつ最も効果的な保護措置となります。
組織は、開発チームを監査し、Spring CLI拡張機能がまだインストールされているインスタンスを特定し、すべてのコーディング環境(スタンドアロンのワークステーション、共有開発マシン、VSCode拡張機能を使用する可能性のあるCI/CDパイプラインを含む)でその削除を調整する必要があります。
開発者への教訓
この脆弱性は、セキュリティ研究者Yue Liu氏によって責任ある開示が行われ、オープンソースのエコシステムにおける協調的な脆弱性報告の重要性を示しています。
Spring CLIの発見は、非推奨のツールであっても、ユーザーがサポートされていないソフトウェアからの移行の必要性をすぐに認識できない可能性があるため、セキュリティ上の注意が必要であることを浮き彫りにしています。Spring CLIの機能に依存している開発者は、サポートされている代替手段に移行し、開発ツールが常に最新の状態に保たれ、積極的なメンテナンスとセキュリティパッチが適用されていることを確認する必要があります。