CVE-2025-1087: Critical Template Injection in Insomnia API Client Enables Remote Code Execution
2025/05/13 SecurityOnline — Kong が提供する人気の OSS API クライアント Insomnia に存在する、深刻な脆弱性 CVE-2025-1087 (CVSS:9.3) を悪用する攻撃者は、影響を受けるシステム上で任意のコード実行の可能性を得るという。したがって、REST/GraphQL/WebSocket/SSE/gRPC エンドポイントとのインタラクションにおいて、Insomnia を利用する開発者/テスター/DevOpsチームにとって、この脆弱性は重大なリスクとなる。
GitHub で 36,000以上のスターを獲得している Insomnia は、その柔軟性/拡張性に加えて、クロス・プラットフォームをサポートすることで、API 開発コミュニティで広く採用されている。
この問題は、テンプレート文字列のレンダリング時における、不十分な入力検証に起因し、その影響が及ぶ範囲は、Insomnia デスクトップ・アプリのバージョン 11.0.2 未満とされている。
アプリケーションの JavaScript コンテキスト内で評価される、特別に細工されたテンプレートを挿入することで、この脆弱性を悪用する攻撃者は、ユーザーのマシン上で任意のコード実行の可能性を得る。
その CVE エントリには、「この脆弱性は、テンプレート文字列の処理時に、ユーザーが入力したコンテンツに対する不十分な検証に起因する。したがって、アプリケーションのコンテキスト内で、任意の JavaScript の実行の可能性が生じる」と記されている。
Insomnia がサポートする範囲には、環境変数/テンプレート・タグ/カスタム・スクリプトといった、広範なユーザー入力ソースが存在するため、悪意のワークスペース・エクスポートや共有プロジェクトにおいて武器化される可能性がある。つまり、この攻撃対象領域の広さが、特に懸念されることになる。
CVE-2025-1087 が悪用されると、攻撃者は以下のことが可能にする:
- アプリケーション内での 任意の JavaScript の実行
- 機密性の高い環境変数への不正アクセス
- API リクエストの改変によるラテラル・ムーブメントの実行
- 昇格された権限での実行時における、システムの整合性の毀損
この脆弱性は、テンプレート・インジェクションの脆弱性に該当する。テンプレート・インジェクションとは、ユーザーが制御する入力が、基盤となるレンダリング・エンジンにより、コードとして評価されてしまう脆弱性の一種である。
ユーザーに対して強く推奨されるのは、バージョン 11.0.2 以降への速やかなアップデートによる、セキュリティ・リスクの軽減である。
オープンソースの Insomnia API Client に、深刻度の高い RCE 脆弱性が発生しています。ご利用のチームは、迅速なアップデートを、ご検討下さい。よろしければ、カテゴリ _OpenSource も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.