概要
会話型AIアプリケーション構築のための人気オープンソースフレームワークであるChainlitに、**2つの高 severity 脆弱性**が発見されました。Zafran Labsの研究者によって「ChainLeak」と名付けられたこれらの問題は、ユーザーインタラクションなしに悪用可能であり、**大規模企業を含む複数の業界で積極的に展開されている、インターネットに接続されたAIシステムに影響を与えます。**
Chainlitとは
Chainlit AIアプリ構築フレームワークは、PyPIレジストリで月間平均70万回、年間500万回ダウンロードされています。これは、チャットベースのAI機能向けの既成のWeb UI、バックエンド配線ツール、および認証、セッション処理、クラウドデプロイのための組み込みサポートを提供します。通常、企業展開や学術機関で利用され、インターネットに公開された本番システムで確認されています。
脆弱性の詳細
Zafranの研究者が発見した2つのセキュリティ問題は、以下の通りです。
- CVE-2026-22218: 任意ファイル読み取り
この脆弱性は、
/project/elementエンドポイントを介して悪用されます。攻撃者は制御された「path」フィールドを持つカスタム要素を送信することで、Chainlitにそのパスにあるファイルを検証なしで攻撃者のセッションにコピーさせることが可能です。これにより、**APIキー、クラウドアカウント認証情報、ソースコード、内部設定ファイル、SQLiteデータベース、認証シークレット**など、Chainlitサーバーがアクセスできるあらゆる機密ファイルを攻撃者が読み取ることができます。 - CVE-2026-22219: サーバーサイドリクエストフォージェリ (SSRF)
この脆弱性は、SQLAlchemyデータレイヤーを使用するChainlitデプロイメントに影響を与えます。カスタム要素の「url」フィールドを設定することで悪用され、サーバーにアウトバウンドGETリクエストを介してURLをフェッチさせ、その応答を保存させます。攻撃者はその後、要素ダウンロードエンドポイントを介してフェッチされたデータにアクセスでき、**内部RESTサービスへのアクセスや内部IPおよびサービスのプローブ**が可能になります。
複合攻撃の可能性
Zafranの研究者は、これら2つの欠陥を組み合わせることで、**完全なシステム侵害**とクラウド環境での**水平移動(ラテラルムーブメント)**を可能にする単一の攻撃チェーンを実証しました。
発見から修正までの経緯
研究者らは2025年11月23日にChainlitのメンテナーにこれらの脆弱性について通知し、2025年12月9日に確認応答を受け取りました。脆弱性は、**2025年12月24日にChainlitバージョン2.9.4のリリースで修正**されました。
推奨事項
CVE-2026-22218およびCVE-2026-22219の深刻度と悪用可能性を考慮し、影響を受ける組織は**早急にバージョン2.9.4以降(最新は2.9.6)へのアップグレード**が強く推奨されます。