MENU
  1. ホーム
  2. CVE
  3. 【最重大】CVE-2026-42302 FastGPTの認証バイパスによる未認証RCE脆弱性解説とAI Agent運用者必見の防御策

【最重大】CVE-2026-42302 FastGPTの認証バイパスによる未認証RCE脆弱性解説とAI Agent運用者必見の防御策

CVE
2026-cve ai-agent ai-security auth-bypass Critical rce
  • URLをコピーしました!

AI Security速報をXで配信しています!!

AI/LLM関連の脆弱性、PoC、KEV追加などの更新情報を見逃したくない方は、Xをフォローしてねー!

Xでフォローする

本記事は公開時点の情報をもとにした速報記事です。内容が更新される場合があるため、必要に応じてベンダー公式情報や一次情報もあわせて確認してください。

目次

結論

  • 危険度: Critical (CVSS 9.8)
  • 対象: (詳細はベンダーアドバイザリ参照)
  • 修正: ベンダーアドバイザリ参照
  • KEV: No (NVD Critical由来。CISA KEVには未登録)
タイトルの緊急度プレフィックス(【至急】【最重大】等)の意味
表記 条件 意味 対応目安
【至急/ランサム悪用】 CISA KEV登録 + ランサムウェア悪用観測 ランサムグループが現在進行形で悪用 本日中に対応開始
【至急/重大】 CISA KEV登録 + CVSS 9.0以上 実世界で攻撃観測あり + スコア極めて高い 本日中に対応開始
【重大/KEV登録】 CISA KEV登録(CVSS低またはNVD未反映) 実世界で攻撃観測あり 数日以内
【最重大】 CVSS 9.5以上(KEV未登録) 理論上の危険度ほぼ満点、攻撃観測はまだない 1週間以内に対応計画
【重大】 CVSS 9.0〜9.4(KEV未登録) Critical帯の理論的高リスク 1〜2週間以内
【高】 CVSS 7.0〜8.9(KEV未登録) High帯のリスク 計画的に対応
(プレフィックスなし) CVSS 7.0未満 Medium以下のリスク 通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-05-12 | 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP やること かかる目安
1 何が起きているか理解する 3分
2 急ぎ対応すべきか判断する 3分
3 自分の環境が対象か確認する 5分
4 修正を適用する 環境による
5 修正されたことを確認する 3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-42302 は FastGPT の脆弱性です。攻撃者は認証なしで FastGPT の agent-sandbox に入り、RCE(リモートコード実行)でサンドボックスを操作できます。LLM ゲートウェイや Agentic 開発を使う運用者にとって最優先対応です。

やさしく説明すると

FastGPT の中にある作業部屋の鍵が、最初から開いたままになっています。

しかも、その部屋は外から見える場所に置かれています。

そのため、攻撃者はドアを開けずに中へ入り、好きな操作を実行できます。

つまり、AI Agent の土台そのものを勝手に触られる危険があります。

技術的な原因

この脆弱性は CWE-306(必要な認証の欠如)です。FastGPT の agent-sandbox は、起動時に code-server を --auth none で起動します。さらに、サービスは 0.0.0.0:8080 にバインドします。

言い換えると、ネットワーク到達性がある相手なら、認証を通らずに sandbox を操作できます。NVD の記載では、4.14.10 から 4.14.13 未満が影響を受けます。修正は 4.14.13 で入っています。

影響を受けると何が困るか

  • APIキー(OpenAI/Anthropic等)の漏洩につながります。
  • LLMコンテキスト窃取で、顧客データを含む会話内容が読まれます。
  • プロンプトインジェクションを介したエージェント乗っ取りが起きます。
  • モデルやRAGデータの改ざんが起きます。
  • 請求コストが爆増します。
  • テナント間情報漏洩が起きます。
  • インフラ全体への横展開に使われます。
  • AI コーディングツール経由のローカルファイル読み取りや任意コード実行につながります。
  • IDE拡張のリモート操作につながります。
  • .env や認証情報の漏洩につながります。

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ 情報源 言語 何が分かるか リンク
総合 NVD(米国 NIST) 米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。 開く
総合 MITRE CVE CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。 開く
総合 JVN iPedia(JPCERT/CC・IPA) 日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。 開く
総合 CISA KEV(悪用観測カタログ) 米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。 開く
総合 GitHub Advisory Database OSSパッケージ(npm/pypi/maven/composer/go等)別の脆弱性アドバイザリ。修正PRへのリンクが豊富。 開く
総合 OpenCVE 複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。 開く
Linux Red Hat CVE Red Hat製品(RHEL/CentOS Stream/Rocky/AlmaLinux系)の影響評価とパッチ状況。 開く
Linux Ubuntu Security Ubuntu の影響評価。各Ubuntuバージョン(22.04/24.04等)でのパッチ提供状況が一目で分かる。 開く
Linux Debian Security Tracker Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディストリ利用者向け。 開く
Linux SUSE CVE SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。 開く
悪用 Exploit Database 公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。 開く
悪用 Packet Storm Security セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。 開く
悪用 GitHub PoC 検索 GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。 開く
悪用 X(Twitter)検索 日英 直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。 開く
スキャナ Snyk Vulnerability DB パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。 開く
スキャナ Tenable(Nessus) Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。 開く
スキャナ Rapid7(Metasploit/Nexpose) Metasploit悪用モジュール、Nexposeでの検出情報。 開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります(特にJVN iPediaは日本国内で報告された脆弱性のみ掲載)。

STEP 2: 急ぎ対応すべきか判断する

結論: 【最重大】

  • CVSS は 9.8 です。実務的には「ネットワーク越しに即死級」の深刻度です。
  • EPSS は 0.33% です。直近30日で悪用される予測確率としては低めです。
  • CISA KEV には未登録です。CISA は現時点で悪用観測を公開していません。
  • 公開PoCリポジトリ数は 0 です。少なくとも提供データ上では武器化は確認できません。
  • 悪用に必要な条件は、NETWORK 到達性があり、PR:N で、UI:N です。つまり、攻撃者は認証なしで到達できる経路を見つければ攻撃できます。

誰が動くべきか

  • FastGPT を本番運用している LLM Gateway 運用チーム。
  • FastGPT ベースで Agentic ワークフローを動かす運用者。
  • AI 駆動開発で FastGPT を組み込んだ開発チーム。
  • バイブコーダーとして FastGPT を自前サーバで触っている開発者。
  • Sandbox をネットワーク公開している SecOps / SRE チーム。

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品 脆弱なバージョン範囲 修正版
FastGPT agent-sandbox 4.14.10 以上 4.14.13 未満 4.14.13

バージョン確認コマンド

Linux / macOS(FastGPT サービス配備先)

cd /path/to/FastGPT
git rev-parse --short HEAD
git describe --tags --always

出力例:

v4.14.12
9d1cafc

判定: v4.14.10 以上 v4.14.13 未満なら脆弱です。v4.14.13 以上なら安全側です。

Docker(FastGPT コンテナ)

docker images --format '{{.Repository}} {{.Tag}} {{.Digest}}' | grep -i fastgpt

出力例:

fastgpt v4.14.12 sha256:aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

判定: タグが 4.14.10 以上 4.14.13 未満なら脆弱です。タグまたは digest が 4.14.13 に相当するなら修正済みです。

Kubernetes(kubectl)

kubectl get pods -A -o jsonpath='{range .items[*]}{.metadata.namespace}{" "}{.metadata.name}{" "}{.spec.containers[*].image}{"\n"}{end}' | grep -i fastgpt

出力例:

ai fastgpt-0 ghcr.io/labring/fastgpt:v4.14.12

判定: イメージタグが v4.14.10 以上 v4.14.13 未満なら脆弱です。

設定確認

この脆弱性は設定依存ではありません。バージョンが対象範囲なら脆弱です。理由は、起動時設定が --auth none0.0.0.0:8080 を使う点にあります。

Nucleiテンプレートでの検出

公開Nucleiテンプレートは見つかっていません。検出はバージョン確認で行ってください。

STEP 4: 修正を適用する

パッチ適用

Linux / macOS(ソース運用)

git fetch --tags
git checkout v4.14.13

出力例:

HEAD is now at ...
Note: switching to 'v4.14.13'.

判定: v4.14.13 に切り替われば修正済みです。

Docker(イメージ更新)

docker pull ghcr.io/labring/fastgpt:v4.14.13

出力例:

v4.14.13: Pulling from labring/fastgpt
Digest: sha256:...

判定: 更新先が v4.14.13 なら修正済みです。

注意: パッチ適用前にバックアップを取得してください。FastGPT の sandbox 周辺を更新する前に、ステージングで起動確認を行ってください。

パッチ即時適用ができない場合の暫定対応

公式の暫定対応は提示されていません。実務的には、agent-sandbox をネットワーク公開しないでください。さらに、到達元を社内管理ネットワークに限定してください。

STEP 5: 修正されたことを確認する

STEP 3 で実行したバージョン確認コマンドを、再度実行してください。

期待される出力

Linux / macOS(FastGPT サービス配備先)

cd /path/to/FastGPT
git rev-parse --short HEAD
git describe --tags --always

出力例:

v4.14.13
1a2b3c4

判定: バージョンが 4.14.13 以上ならOKです。

Docker(FastGPT コンテナ)

docker images --format '{{.Repository}} {{.Tag}} {{.Digest}}' | grep -i fastgpt

出力例:

fastgpt v4.14.13 sha256:bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb

判定: タグが v4.14.13 ならOKです。

追加で確認すべきこと

  • FastGPT のログに、外部からの不審な接続がないか確認してください。
  • 公開Nucleiテンプレートがないため、再スキャンはバージョン確認を優先してください。

補足: 悪用観測状況

CISA KEV には未登録です。提供データ上、ランサムウェア悪用は Unknown です。つまり、実悪用の断定材料はまだありません。

公開PoCリポジトリ数は 0 です。NVD の Exploit タグリンク数も 0 です。現時点では、観測ベースよりも予防対応を優先する局面です。

補足: CVSSメトリクス詳細

  • AV:N : 攻撃元はネットワークです。遠隔から到達できます。
  • AC:L : 攻撃複雑度は低いです。手順の難度は高くありません。
  • PR:N : 必要権限はありません。認証前に攻撃できます。
  • UI:N : ユーザ操作は不要です。被害者のクリックは要りません。
  • S:U : スコープは変更なしです。影響は同一コンポーネント内に収まります。
  • C:H : 機密性影響は高いです。情報漏洩が大きいです。
  • I:H : 完全性影響は高いです。改ざんが可能です。
  • A:H : 可用性影響は高いです。停止や破壊が起きます。

よくある質問(FAQ)

Q. このCVEに対応するために最低限すべきことは何ですか?

A. FastGPT を 4.14.13 に上げてください。次に、STEP 3 でバージョン確認を行い、STEP 5 で再確認してください。

Q. パッチが適用できない場合、どうすればよいですか?

A. STEP 4 の暫定対応を実施してください。agent-sandbox をネットワーク公開しないでください。到達元も絞ってください。

Q. 既に攻撃を受けているか確認する方法はありますか?

A. 提供データにはIOCはありません。FastGPT のアクセスログと起動ログを確認してください。不審な 8080 番ポートへの接続も見てください。

Q. なぜEPSSスコアが重要なのですか?

A. CVSS は深刻度を示します。EPSS は直近30日で悪用される予測確率を示します。両方を見ると、AI Security の優先順位を決めやすくなります。

Q. このCVEと類似の脆弱性は他にもありますか?

A. 提供データでは CWE-306 です。つまり、認証不足の脆弱性です。同じ CWE を持つ脆弱性は他にもありますが、具体例はベンダー公表情報を参照してください。

参考文献

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

AI Security速報を継続配信しています!!

AI/LLM関連の脆弱性、PoC、KEV追加、海外アドバイザリなどを X で配信してるので、ぜひフォローをお願いします!

@ai_sec_news_256 をフォロー

CVE
2026-cve ai-agent ai-security auth-bypass Critical rce

この記事が気に入ったら
フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

関連記事

目次