CVE-2026-42045 LobeHubに潜むクロスサイトスクリプティング(XSS)脆弱性のリスクとAIエージェント開発者向け対策手順

結論

• 危険度: Medium (CVSS 6.2)
• 対象: @lobehub/lobehub <= 2.1.26
• 修正: ベンダーアドバイザリ参照
• KEV: No (NVD Critical由来。CISA KEVには未登録)

最終更新: 2026-05-12 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP 1: 何が起きているか

一言でいうと

CVE-2026-42045は、LobeHubの古いバージョン(@lobehub/lobehub <= 2.1.26)にある脆弱性です。攻撃者は、悪意あるタグをLLMが出力するよう誘導し、クライアント側でのXSS（クロスサイトスクリプティング）を発生させます。さらに、ElectronベースのLobeChatのIPCインターフェースを通して任意のOSコマンド実行が可能になります。これは、LLM GatewayやAgentフレームワークを運用する現場にとって重大な問題です。

やさしく説明すると

玄関の鍵が壊れているようなものです。悪い人が勝手にドアを開けて家の中に入れる状態に似ています。ここでは、悪意のあるコード（タグ）を特別な方法で送り込むことで、中で自由に動かせる状態を作ります。さらに、その裏には家の中の指令室があり、そこから好きな命令をコンピューターに送れるため、一気に危険度は増します。

技術的な原因

今回の脆弱性はCWE-79（クロスサイトスクリプティング）に分類されます。Renderプロセスでカスタムタグの種類が不明な場合に既定のHTMLRendererが呼ばれ、攻撃者が細工したタグがそのままクライアントに渡ることでXSSを発生させます。さらに、ElectronのipcMainプロセスがrunCommandという名前のIPCインターフェースを公開し、コマンドパラメータをフィルタリングしません。これにより、XSSで取得したハンドルから任意のシステムコマンドが実行されます。

影響を受けると何が困るか

• APIキーや認証情報の漏洩でLLMサービスの不正利用が発生する
• LLMのコンテキスト情報や顧客データが盗まれるリスク
• Agentフレームワークの乗っ取りによる命令改変や不正操作
• 開発ツール（Cursor、Cline等）経由でのローカルファイルアクセスや任意コード実行が可能に
• インフラ全体への脆弱性横展開や権限昇格を招く可能性
• 意図しない高額請求を招くAIサービスの悪用被害

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 中

判断根拠

• CVSS v3.1スコアは 6.2 (Medium)。実務的には重要だが即時の緊急対応は不要の中程度リスクです。
• EPSSスコアは提供なし。現状、悪用予測の確率評価は不明です。
• ランサムウェア悪用は未知（Unknown）で、観測されていません。
• 公開PoC（プルーフオブコンセプト）コードは見つかっていません。
• 攻撃にはネットワーク経由での高権限アクセスとユーザ操作（UI）が必要です。攻撃の複雑さは高く、容易に悪用できる状況ではないと見なせます。

誰が動くべきか

• LLM GatewayやAgentフレームワークを運用している運用者・SRE・SecOpsチーム
• ElectronベースのLobeChatを利用している開発チーム・運用者
• LLM ProxyやMCP ServerなどのAIインフラ担当者
• CursorやCline、CopilotなどのAIコーディングツール利用者（Electronアプリを使うバイブコーダー開発者も含む）

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

バージョン確認コマンド

Node.js（npm）

npm list @lobehub/lobehub

出力例:

@lobehub/lobehub@2.1.26
└─┬ ...

判定: バージョンが 2.1.26 以下なら脆弱

設定確認

本脆弱性は設定依存ではなく、バージョンが対象範囲内なら脆弱です。設定変更による回避はありません。

Nucleiテンプレートでの検出

本CVEに対する公開Nucleiテンプレートは未発見です。バージョン確認が確実な判定方法です。

STEP 4: 修正を適用する

パッチ適用

2026年5月時点、ベンダーは2.1.48で修正済みと公表しています。しかしnpmの修正パッチ公開は未確認のため、以下を参考にアップデート検討を進めてください。

Node.js（npm）でのアップデート例

npm install @lobehub/lobehub@2.1.48

出力例:

+ @lobehub/lobehub@2.1.48
updated 1 package in 5s

判定: バージョンが 2.1.48 以上なら修正済み

注意: パッチ適用前に必ずプロジェクトのバックアップを取得し、開発・ステージング環境で動作検証を行ってください。Electronアプリの依存関係変更は破壊的な影響も考えられます。

パッチ即時適用ができない場合の暫定対応

ベンダーによる公式の暫定対応策は提示されていません。脆弱なバージョンをネットワーク的に隔離し、信頼できないコンテンツを処理しない運用が唯一の暫定策です。

STEP 5: 修正されたことを確認する

STEP 3で実行したバージョン確認コマンドを再度実行してください。

期待される出力

Node.js（npm）

npm list @lobehub/lobehub

出力例:

@lobehub/lobehub@2.1.48
└─┬ ...

判定: バージョンが 2.1.48 以上ならOK

追加で確認すべきこと

• ログに不審なXSS攻撃やrunCommand呼び出しの痕跡がないか確認する
• 可能ならElectronのIPC通信の監査ログを取得し、異常アクセスを検出する

補足: 悪用観測状況

本脆弱性は現時点で公開された悪用コードやPoCは見つかっていません。CISAのKEVカタログにも未登録で、ランサムウェアグループによる悪用報告はありません。ネット上の探索ではGitHub上に攻撃コードは公開されていないため、現状は悪用確認がない安全な段階といえます。

補足: CVSSメトリクス詳細

• AV: NETWORK ネットワーク経由で攻撃可能
• AC: HIGH 攻撃の複雑さは高い（高度な手順や条件が必要）
• PR: HIGH 高い権限が必要
• UI: REQUIRED ユーザ操作が必須
• S: CHANGED 影響範囲が異なる権限状態に拡散する
• C: HIGH 機密性の損失が重大
• I: LOW 完全性の損失は限定的
• A: NONE 可用性への影響はない

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. まずSTEP 3で自環境のバージョンを確認し、2.1.26以下の場合はSTEP 4で最新安定版にアップデートしてください。その後STEP 5で修正が反映されたか確認します。

Q. パッチが適用できない場合、どうすればよいですか？

A. 脆弱なバージョンをネットワークから隔離し、信頼できないユーザ入力やコンテンツを処理しない運用に切り替えてください。公式の暫定策はまだありません。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. アクセスログやElectronのIPC通信ログで不審なrunCommandの呼び出しやXSSを疑う動きをチェックしてください。ただし、詳細なIOCはベンダー情報に依存します。

Q. なぜEPSSスコアが重要なのですか？

A. EPSSは実際に悪用される確率を示します。CVSSがリスクの潜在度を示すのに対し、EPSSは優先度判断の精度を上げます。本CVEはEPSS情報がありませんが、通常は両方を確認してください。

Q. このCVEと類似の脆弱性は他にもありますか？

A. CWE-79（クロスサイトスクリプティング）に該当する脆弱性は多く存在します。Electron IPCの不適切な権限管理を狙った攻撃も特に注意が必要です。

参考文献

• NVD – CVE-2026-42045
• GitHub Advisory Database – GHSA-xq4x-622m-q8fq
• LobeHub 公式セキュリティアドバイザリ
• JVN iPedia – CVE-2026-42045

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• Medium脆弱性 に関するCVE・脆弱性記事一覧
• XSS に関するCVE・脆弱性記事一覧
• LLM に関するCVE・脆弱性記事一覧