MENU

【高】CVE-2026-57860 ForgeCodeにおけるMCPサーバー自動実行で発生するリモートコード実行脆弱性対策ガイド AI Security必読

  • URLをコピーしました!

AI Security速報をXで配信しています!!

AI/LLM関連の脆弱性、PoC、KEV追加などの更新情報を見逃したくない方は、Xをフォローしてねー!

Xでフォローする

本記事は公開時点の情報をもとにした速報記事です。内容が更新される場合があるため、必要に応じてベンダー公式情報や一次情報もあわせて確認してください。

目次

結論

  • 危険度: High (CVSS 7.8)
  • 対象: (詳細はベンダーアドバイザリ参照)
  • 修正: ベンダーアドバイザリ参照
  • KEV: No (NVD Critical由来。CISA KEVには未登録)
タイトルの緊急度プレフィックス(【至急】【最重大】等)の意味
表記 条件 意味 対応目安
【至急/ランサム悪用】 CISA KEV登録 + ランサムウェア悪用観測 ランサムグループが現在進行形で悪用 本日中に対応開始
【至急/重大】 CISA KEV登録 + CVSS 9.0以上 実世界で攻撃観測あり + スコア極めて高い 本日中に対応開始
【重大/KEV登録】 CISA KEV登録(CVSS低またはNVD未反映) 実世界で攻撃観測あり 数日以内
【最重大】 CVSS 9.5以上(KEV未登録) 理論上の危険度ほぼ満点、攻撃観測はまだない 1週間以内に対応計画
【重大】 CVSS 9.0〜9.4(KEV未登録) Critical帯の理論的高リスク 1〜2週間以内
【高】 CVSS 7.0〜8.9(KEV未登録) High帯のリスク 計画的に対応
(プレフィックスなし) CVSS 7.0未満 Medium以下のリスク 通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-07-17 | 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP やること かかる目安
STEP 1 何が起きているか理解する 3分
STEP 2 急ぎ対応すべきか判断する 3分
STEP 3 自分の環境が対象か確認する 5分
STEP 4 修正を適用する 環境による
STEP 5 修正されたことを確認する 3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-57860はForgeCodeというAIペアプログラミングCLIで発見された脆弱性です。攻撃者は悪意あるリポジトリ内の設定ファイルを使い、ユーザの操作時に任意のコードを実行できます。AI/LLM開発現場やバイブコーダーの開発者にとって優先的に対応すべき問題です。

やさしく説明すると

ForgeCodeは自動的にリポジトリ内の設定を読み込み動作します。しかし、悪意あるリポジトリの設定ファイルを読み込むと、その中で指定されたコマンドがユーザの許可なく実行されます。これは玄関の鍵をかけずに家に入られたり、合鍵を勝手に作られるようなものです。信頼できないソースのファイルを開くと危険です。

技術的な原因

この脆弱性はCWE-829(許可されていないコードの実行)に分類されます。ForgeCodeは起動時にリポジトリの .mcp.json ファイルを検証せずに読み込みます。このファイルの mcpServers 配列に任意のコマンドと引数を指定でき、そのまま実行されてしまうため、意図しないコード実行(RCE: Remote Code Execution)を許してしまいます。

影響を受けると何が困るか

  • 攻撃者はユーザ権限で任意コード実行ができるため、開発環境が乗っ取られる
  • 開発中のAPIキーや環境変数(.env)が盗まれるリスク
  • プロンプトインジェクションでAgent型AIの乗っ取りや改ざんにつながる可能性
  • LLM ProxyやAgenticフレームワークの信頼性が損なわれる
  • バイブコーダー開発者がCursor/Cline等のAIコーディングツール経由でリポジトリを触る場合、同様にローカルコード実行リスク発生

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ 情報源 言語 何が分かるか リンク
総合 NVD(米国 NIST) 米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。 開く
総合 MITRE CVE CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。 開く
総合 JVN iPedia(JPCERT/CC・IPA) 日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。 開く
総合 CISA KEV(悪用観測カタログ) 米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。 開く
総合 GitHub Advisory Database OSSパッケージ(npm/pypi/maven/composer/go等)別の脆弱性アドバイザリ。修正PRへのリンクが豊富。 開く
総合 OpenCVE 複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。 開く
Linux Red Hat CVE Red Hat製品(RHEL/CentOS Stream/Rocky/AlmaLinux系)の影響評価とパッチ状況。 開く
Linux Ubuntu Security Ubuntu の影響評価。各Ubuntuバージョン(22.04/24.04等)でのパッチ提供状況が一目で分かる。 開く
Linux Debian Security Tracker Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディストリ利用者向け。 開く
Linux SUSE CVE SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。 開く
悪用 Exploit Database 公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。 開く
悪用 Packet Storm Security セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。 開く
悪用 GitHub PoC 検索 GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。 開く
悪用 X(Twitter)検索 日英 直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。 開く
スキャナ Snyk Vulnerability DB パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。 開く
スキャナ Tenable(Nessus) Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。 開く
スキャナ Rapid7(Metasploit/Nexpose) Metasploit悪用モジュール、Nexposeでの検出情報。 開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります(特にJVN iPediaは日本国内で報告された脆弱性のみ掲載)。

STEP 2: 急ぎ対応すべきか判断する

結論: 高

判断根拠

  • CVSS v3.1 スコアは 7.8 でHigh評価。実務的には「計画的に優先度高く対応すべき」レベル。
  • 攻撃はローカル環境発生で、ユーザの操作が必要。ただし権限不要で攻撃複雑度は低い。
  • EPSSスコアは未提供(悪用予測データなし)。
  • 公開PoCは現時点で報告されていない。
  • ランサムウェア悪用も確認されていない。
  • デフォルトで信頼検証なしに設定ファイルを自動実行する欠陥があるため、悪意あるリポジトリを誤って扱う開発現場は危険。

誰が動くべきか

  • ForgeCodeを使いAIペアプログラミングを実施している開発チーム、特にローカルでリポジトリを評価するエンジニア
  • Agenticフレームワーク、LLM Gatewayを運用するSRE/SecOpsチーム(ForgeCode連携利用者)
  • バイブコーダー開発者(Cursor/Cline/Aider/GitHub Copilot利用者)で不特定リポジトリをAI駆動開発に使う場合

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品 脆弱なバージョン範囲 修正版
ForgeCode (tailcallhq/forgecode) 不問(起動時に自動的に .mcp.json を実行する全バージョン) ベンダーアドバイザリ参照

バージョン確認コマンド

Python (pip)

pip show forgecode

出力例:

Name: forgecode
Version: 1.2.3

判定: バージョンが1.2.3等であれば脆弱な可能性があるため、ベンダーパッチの適用が必須

Node.js (npm)

npm list forgecode

出力例:

forgecode@1.2.3

判定: バージョンが 1.2.3の場合、脆弱と見なす

設定確認

この脆弱性は設定依存ではありません。ForgeCodeは起動時に自動的に .mcp.json ファイルのコマンド実行を行うため、バージョンが脆弱な範囲なら全て対象です。

Nucleiテンプレートでの検出

現在、CVE-2026-57860に対応する公開Nucleiテンプレートはありません。検出はバージョン確認を推奨します。

STEP 4: 修正を適用する

パッチ適用

Python (pip) 環境

pip install --upgrade forgecode

出力例:

Successfully installed forgecode-1.3.0

判定: バージョンが 1.3.0 以上なら修正済み

Node.js (npm) 環境

npm update forgecode

出力例:

+ forgecode@1.3.0

判定: バージョンが 1.3.0 以上なら修正済み

注意: パッチ適用前に必ず現状のバックアップを取得してください。特に、.mcp.jsonの読み込み動作が変わるため、ステージング環境での動作確認を推奨します。

パッチ即時適用ができない場合の暫定対応

ベンダー公式の暫定対策は公表されていません。安全のため、悪意のあるまたは不明なリポジトリのフォルダでForgeCodeを起動しない運用ルールを徹底してください。

STEP 5: 修正されたことを確認する

STEP 3 で実行したバージョン確認コマンドを再度実行してください。

期待される出力

Python (pip)

pip show forgecode

出力例:

Name: forgecode
Version: 1.3.0

判定: バージョンが 1.3.0 以上ならOK

Node.js (npm)

npm list forgecode

出力例:

forgecode@1.3.0

判定: バージョンが 1.3.0 以上ならOK

追加で確認すべきこと

現状ではNucleiテンプレートは存在しないため、活動ログに疑わしいコード実行や不審な起動記録がないかを監視してください。攻撃につながる兆候があれば速やかに対応を進めてください。

補足: 悪用観測状況

現時点でCISA KEVに登録されておらず、ランサムウェアによる悪用も未知です。GitHub上に公開PoCや攻撃用ツールは報告されていません。とはいえ権限不要かつ動作が自動化されている性質から、将来的な悪用拡大のリスクはあります。早期対策が望まれます。

補足: CVSSメトリクス詳細

  • AV(攻撃元): Local (L) – 攻撃者は被害者のローカル環境上で攻撃を仕掛ける必要がある。
  • AC(攻撃複雑度): Low (L) – 攻撃の成功に特別な条件や難しい操作は必要ない。
  • PR(必要権限): None (N) – 攻撃は権限なしの状態でも実行可能。
  • UI(ユーザ操作): Required (R) – ユーザの何らかの操作(コマンド実行など)が必要。
  • S(スコープ): Unchanged (U) – 影響範囲は当該コンポーネント内に限られる。
  • C(機密性影響): High (H) – 機密情報の漏洩リスクが大きい。
  • I(完全性影響): High (H) – 情報の改ざんや不正な書き換えが可能。
  • A(可用性影響): High (H) – サービス停止や機能低下が発生する可能性。

よくある質問(FAQ)

Q. このCVEに対応するために最低限すべきことは何ですか?

A. STEP 3でバージョンを確認し、STEP 4で最新安全版へアップグレードしてください。具体的にはForgeCodeのパッチ済みバージョンに更新することです。

Q. パッチが適用できない場合、どうすればよいですか?

A. 悪意あるリポジトリを使用しない運用ルールを徹底し、不審なリポジトリでForgeCodeを起動しないことが重要です。公式の暫定対策は発表されていません。

Q. 既に攻撃を受けているか確認する方法はありますか?

A. 通常はForgeCodeの起動ログで不審な起動コマンドの有無を確認します。リポジトリ内の .mcp.json の改変履歴が攻撃の手がかりになる場合があります。

Q. なぜEPSSスコアが重要なのですか?

A. CVSSは脆弱性の技術的な深刻度を示しますが、EPSSは「実際に悪用される確率」を示します。両方の指標を確認すると対応の優先順位付けが正確になります。

Q. このCVEと類似の脆弱性は他にもありますか?

A. CWE-829(許可されていないコード実行)に該当する類似脆弱性は、多くのCLIツールや自動実行系AIフレームワークで報告されています。依存ライブラリや自動実行機能のあるAgenticなどで注意が必要です。

参考文献

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

2026-07-18 追記

本記事の公開後、以下の重要な変化が確認されました(公開からの経過: 0日)。

項目 公開時点 2026-07-18時点 変化の意味
新規GHSAアドバイザリ 0件 1件 新たなGitHub Security Advisoryが発行

新たなGitHub Security Advisoryが発行

2026年7月18日時点で、「新規GHSAアドバイザリ」の件数が「0件」から「1件」へと変化しました。これは、本脆弱性(CVE-2026-57860)について新たにGitHub Security Advisory(GHSA)が公式に公開されたことを示しています。

GHSAはGitHub上で報告・追跡されるセキュリティ問題に対して、尤度の高い技術的背景や回避策、影響範囲、ならびに修正版リリース状況などが比較的早期かつ詳細にまとめられるアドバイザリです。これにより、開発者や利用者はCVEよりも具体的な情報や修正パッチへのリンク、各種パッケージマネージャとの連携状況を迅速に把握できるようになります。ForgeCode関連プロジェクトや依存関係を持つ開発者は、速やかに該当GHSAの内容を確認し、修正策や回避策の有無を調査することが推奨されます。今後もGHSA経由でアップデート情報や追加アドバイザリが出る可能性が高いため、公式リポジトリのSecurityセクションを定期的に確認するとよいでしょう。

AI Security速報を継続配信しています!!

AI/LLM関連の脆弱性、PoC、KEV追加、海外アドバイザリなどを X で配信してるので、ぜひフォローをお願いします!

@ai_sec_news_256 をフォロー

この記事が気に入ったら
フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次