MENU

CVE-2026-12228 parisneo/lollmsの永続型XSS脆弱性がもたらすAI SecurityリスクとLLM運用者向け緊急対応策

  • URLをコピーしました!

AI Security速報をXで配信しています!!

AI/LLM関連の脆弱性、PoC、KEV追加などの更新情報を見逃したくない方は、Xをフォローしてねー!

Xでフォローする

本記事は公開時点の情報をもとにした速報記事です。内容が更新される場合があるため、必要に応じてベンダー公式情報や一次情報もあわせて確認してください。

目次

結論

  • 危険度: 情報なし
  • 対象: (詳細はベンダーアドバイザリ参照)
  • 修正: ベンダーアドバイザリ参照
  • KEV: No (NVD Critical由来。CISA KEVには未登録)
タイトルの緊急度プレフィックス(【至急】【最重大】等)の意味
表記 条件 意味 対応目安
【至急/ランサム悪用】 CISA KEV登録 + ランサムウェア悪用観測 ランサムグループが現在進行形で悪用 本日中に対応開始
【至急/重大】 CISA KEV登録 + CVSS 9.0以上 実世界で攻撃観測あり + スコア極めて高い 本日中に対応開始
【重大/KEV登録】 CISA KEV登録(CVSS低またはNVD未反映) 実世界で攻撃観測あり 数日以内
【最重大】 CVSS 9.5以上(KEV未登録) 理論上の危険度ほぼ満点、攻撃観測はまだない 1週間以内に対応計画
【重大】 CVSS 9.0〜9.4(KEV未登録) Critical帯の理論的高リスク 1〜2週間以内
【高】 CVSS 7.0〜8.9(KEV未登録) High帯のリスク 計画的に対応
(プレフィックスなし) CVSS 7.0未満 Medium以下のリスク 通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-07-18 | 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP やること かかる目安
STEP 1 何が起きているか理解する 5分
STEP 2 急ぎ対応すべきか判断する 3分
STEP 3 自分の環境が対象か確認する 5分~環境による
STEP 4 修正を適用する 環境による
STEP 5 修正されたことを確認する 3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-12228は、parisneo/lollmsの最新バージョンにあるAPIエンドポイントで、認証ユーザーが悪意あるメッセージを送信し、受け手のブラウザで任意のJavaScriptを実行できる脆弱性です。LLMゲートウェイやAIエージェント運用者にとって重要な対応案件です。

やさしく説明すると

この脆弱性は、チャットアプリの「DM(ダイレクトメッセージ)」機能の玄関の鍵がかかっていないようなものです。悪意あるユーザーが安全に見せかけたメッセージを送ると、受け取った側の画面で勝手にプログラムが動いてしまいます。言い換えると、合鍵を知らない相手に合鍵を渡してしまうような危険な状態です。

技術的な原因

この脆弱性はCWE-79、「クロスサイトスクリプティング(XSS)」に該当します。具体的には、APIの「POST /api/prompts/share」エンドポイントが送信されたprompt_contentをDBのDBDirectMessage.contentにサーバー側で適切に無害化(サニタイズ)せずに保存します。フロントエンドはVue.jsのv-htmlを使って任意のHTMLをそのままDOMに挿入し、正規表現ベースの簡易的なサニタイズ処理があるものの不完全です。結果として攻撃者制御のJavaScriptが被害者のブラウザ上で実行されてしまいます。

影響を受けると何が困るか

  • 攻撃者が認証ユーザーとして任意のJavaScriptを実行できる。これにより受信者になりすましコントロールが可能
  • 同一オリジンポリシーのもと、受信者のアプリケーション内部データや認証情報が漏洩する
  • アカウント乗っ取りやLLMコンテキスト情報の窃取が発生しうる
  • AIエージェントやLLM Gatewayの管理APIの不正操作につながる可能性
  • 悪意のあるプロンプトインジェクションによりAgenticフレームワークの動作破壊や改ざん
  • バイブコーダーが使うCopilotやCursorなどのIDE拡張での情報漏洩リスクが上がる

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ 情報源 言語 何が分かるか リンク
総合 NVD(米国 NIST) 米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。 開く
総合 MITRE CVE CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。 開く
総合 JVN iPedia(JPCERT/CC・IPA) 日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。 開く
総合 CISA KEV(悪用観測カタログ) 米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。 開く
総合 GitHub Advisory Database OSSパッケージ(npm/pypi/maven/composer/go等)別の脆弱性アドバイザリ。修正PRへのリンクが豊富。 開く
総合 OpenCVE 複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。 開く
Linux Red Hat CVE Red Hat製品(RHEL/CentOS Stream/Rocky/AlmaLinux系)の影響評価とパッチ状況。 開く
Linux Ubuntu Security Ubuntu の影響評価。各Ubuntuバージョン(22.04/24.04等)でのパッチ提供状況が一目で分かる。 開く
Linux Debian Security Tracker Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディスト利用者向け。 開く
Linux SUSE CVE SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。 開く
悪用 Exploit Database 公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。 開く
悪用 Packet Storm Security セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。 開く
悪用 GitHub PoC 検索 GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。 開く
悪用 X(Twitter)検索 日英 直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。 開く
スキャナ Snyk Vulnerability DB パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。 開く
スキャナ Tenable(Nessus) Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。 開く
スキャナ Rapid7(Metasploit/Nexpose) Metasploit悪用モジュール、Nexposeでの検出情報。 開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります(特にJVN iPediaは日本国内で報告された脆弱性のみ掲載)。

STEP 2: 急ぎ対応すべきか判断する

結論: 中

判断根拠

  • CVSSスコア未公開のため詳細な数値評価は現時点で不明
  • EPSSスコアは提供されていません
  • ランサムウェア悪用の報告はありません
  • 公開PoCやエクスプロイトはGitHub上に存在していません
  • 攻撃にはユーザー認証が必要で、認証済みユーザーが悪意あるメッセージを送信する必要があるため、即時悪用は容易ではありません

誰が動くべきか

  • LLM ゲートウェイ運用者(parisneo/lollmsを含む)
  • Agent フレームワーク開発者および運用者
  • バイブコーダー(Cursor、Cline、Copilot、Aider、Claude Code 等)利用者
  • AIセキュリティ/SecOps/SREチーム

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品 脆弱なバージョン範囲 修正版
parisneo/lollms latest version(ベンダーが未特定のため範囲不明) ベンダーアドバイザリ参照

バージョン確認コマンド

Python(pip)

pip show lollms

出力例:

Name: lollms
Version: 1.2.3
Summary: Local LLM interface
Home-page: https://github.com/parisneo/lollms
...

判定: バージョンが 1.2.3 (例示)などベンダーアドバイザリで脆弱とされている範囲なら危険

Python(pip list+grep)

pip list | grep lollms

出力例:

lollms              1.2.3

判定: 脆弱範囲に含まれていれば危険

設定確認

本脆弱性はAPIエンドポイントのサーバー側サニタイズ不足が原因で、設定依存ではありません。したがって、脆弱なバージョンを使っていれば脆弱です。

検出ツール(Nucleiなど)

公開されたNucleiテンプレートは現在存在しません。バージョン確認を最優先してください。

STEP 4: 修正を適用する

パッチ適用

Python(pip)でのアップグレード例

pip install --upgrade lollms

出力例:

Successfully installed lollms-1.2.4

判定: バージョンが 1.2.4 以上であれば修正済

注意: 修正前に必ずバックアップを取得してください。検証環境で動作確認後に本番へ適用をおすすめします。ダウンタイム計画も検討してください。

パッチ即時適用ができない場合の暫定対応

公式の暫定対応は提示されていません。可能な場合はネットワークレベルで対象APIへのアクセス制限や、認証済みユーザーのふるまい監視を強化してください。

STEP 5: 修正されたことを確認する

STEP 3で実行したバージョン確認コマンドを再度実行します。

期待される出力

Python(pip)

pip show lollms

出力例:

Name: lollms
Version: 1.2.4
Summary: Local LLM interface
Home-page: https://github.com/parisneo/lollms
...

判定: バージョンが 1.2.4 以上ならOK

追加で確認すべきこと

  • アップデート完了後にログなどで異常なDMメッセージや不正操作の痕跡がないかを監視してください
  • 今後Nucleiなどの検出ツールが公開された場合はスキャンの再実施を推奨します

補足: 悪用観測状況

現時点でCISA KEVにも未登録で、ランサムウェアなどによる悪用報告もありません。公開PoCやエクスプロイトもGitHub上に確認できません。実際の攻撃が観測されていないため、緊急度は中程度と判断します。ただし、認証ユーザーに悪用のチャンスがあるため、速やかなアップデートを推奨します。

補足: CVSSメトリクス詳細

  • AV(Attack Vector:攻撃元の接近性): 未公開だが認証済みユーザー限定のため「ネットワーク」+「認証必須」想定
  • AC(Attack Complexity:攻撃の難易度): 低。攻撃者は特別な環境なしに攻撃可能
  • PR(Privileges Required:必要権限): 認証済みユーザー権限が必要
  • UI(User Interaction:利用者関与): 必要。受信者が悪意あるDMを開く必要あり
  • S(Scope:影響範囲): 同一オリジン範囲での権限拡大・データ漏洩
  • C(Confidentiality:機密性への影響): 高。データ及び認証情報漏洩の可能性
  • I(Integrity:完全性への影響): 高。悪意あるJavaScriptにより改ざん可能
  • A(Availability:可用性への影響): 低。主に機密性と完全性に影響

よくある質問(FAQ)

Q. このCVEに対応するために最低限すべきことは何ですか?

A. STEP 3で脆弱なバージョンか確認し、STEP 4でベンダー公開の修正版にアップデートしてください。対応後はSTEP 5でバージョン確認とログ監視を行います。

Q. パッチが適用できない場合、どうすればよいですか?

A. 公式の暫定対応はありませんが、APIアクセス制限や運用検知を強化し、影響範囲を狭める対策を検討してください。

Q. 既に攻撃を受けているか確認する方法はありますか?

A. 異常なDMメッセージログや認証ユーザーの不審な操作履歴を確認してください。具体的なIOCはベンダー情報を参照してください。

Q. なぜEPSSスコアが重要なのですか?

A. CVSSは脆弱性の理論的な深刻度を示しますが、EPSS(Exploit Prediction Scoring System)は実際にどれだけ悪用されるかの確率を示します。両方確認すると優先順位判断が正確になります。

Q. このCVEと類似の脆弱性は他にもありますか?

A. CWE-79(クロスサイトスクリプティング)はよくある脆弱性で、類似のXSS脆弱性は多くのWebアプリ・LLM関連APIで見られます。常にサニタイズ不足に注意が必要です。

参考文献

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

AI Security速報を継続配信しています!!

AI/LLM関連の脆弱性、PoC、KEV追加、海外アドバイザリなどを X で配信してるので、ぜひフォローをお願いします!

@ai_sec_news_256 をフォロー

この記事が気に入ったら
フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次