概要
軽量テキストエディタ「Lite XL」(Windows、Linux、macOS対応)において、高 severity の脆弱性(CVE-2025-12120)が発見されました。この脆弱性は、攻撃者が任意コードを実行することを可能にするもので、バージョン2.1.8以前のLite XLに影響します。
脆弱性の詳細
CVE-2025-12120として追跡されているこの脆弱性は、Lite XLがプロジェクト設定ファイル(.lite_project.lua)をユーザーの確認なしに自動実行することに起因します。Lite XLは、プロジェクトディレクトリを開くと、そのプロジェクトのLua設定モジュールを自動的にロードして実行します。この機能は正当なプロジェクト固有の設定のために意図されたものですが、悪意のあるアクターにとって攻撃ベクトルとなります。
攻撃者は、特別に細工された.lite_project.luaファイルを含む悪意のあるプロジェクトを作成できます。ユーザーがLite XLでこのプロジェクトを開くと、悪意のあるコードがLite XLプロセスと同じ権限で自動的に実行されます。これにより、攻撃者はシステムリソースへの不正アクセス、機密データの窃取、またはユーザーの開発環境の侵害が可能になります。
深刻な影響
この脆弱性は、信頼できると信じているソースからリポジトリをクローンしたり、共同作業プラットフォームからプロジェクトアーカイブをダウンロードしたりするユーザーにとって特に懸念されます。ユーザーは、埋め込まれたLuaコードによってもたらされる潜在的な脅威に気づかない可能性があります。シームレスな自動実行は、ユーザーがコードを実行前に確認する警告や機会がないことを意味します。
このセキュリティ上の影響は、さまざまなソースからの複数のプロジェクトを扱う開発者にとって重大です。攻撃者はこの脆弱性を悪用して、永続的なアクセスを確立したり、ソースコードや認証情報を抜き取ったり、進行中のプロジェクトにバックドアを注入したり、開発者のマシンを侵害することでサプライチェーン攻撃を開始したりする可能性があります。このリスクは、開発者がさまざまなリポジトリからプルされたプロジェクトで共同作業を行うチーム環境で増幅されます。
対策と推奨事項
Lite XL開発チームは、2つの重要なプルリクエストを通じてこれらの脆弱性に対処しました。
- PR #1472: プロジェクトモジュールに対する信頼ガードメカニズムを実装し、信頼できないプロジェクトがLuaコードを自動実行するのを防ぎます。
- PR #1473: 追加のセキュリティリスクをもたらしたレガシーな
exec関数を削除します。
これらの修正により、プロジェクトは明示的なユーザー承認なしにコードを実行できなくなります。更新されたバージョンでは、コードが実行される前にプロジェクトモジュールの実行をユーザーが承認するためのセキュリティプロンプトが導入されています。この追加のユーザー確認レイヤーは、悪意のあるコードの偶発的な実行を防ぐのに役立ちます。
ユーザーは、Lite XLの最新バージョンに直ちにアップデートすることが強く推奨されます。また、アップデートが開発環境全体に展開されるまで、信頼できないソースからのプロジェクトを開く際には注意を払う必要があります。
報告者
この脆弱性は、セキュリティ研究者のDogus Demirkiran氏とGitHubユーザーのSummertime氏によって独立して特定され、報告されました。この共同開示プロセスは、開発者コミュニティを保護する上での責任ある脆弱性報告の重要性を浮き彫りにしています。