Spring CLI Vulnerability Allows Attackers to Execute Commands on User Systems
2026/01/14 gbhackers — Spring CLI VSCode エクステンションには、影響を受けるユーザーのマシン上で攻撃者が任意のコマンドを実行できる、コマンド・インジェクションの脆弱性 CVE-2026-22718 が存在する。この脆弱性が影響を及ぼす範囲は、同エクステンションのバージョン 0.9.0 以下であり、すでにサポートが終了したツールを継続して使用している開発者に深刻なリスクをもたらす。
脆弱性の詳細
この脆弱性を悪用する攻撃者にとって必要なものは、ローカル・システムへのアクセス権とユーザー操作である。そのため深刻度は Medium と評価されるが、すでに侵害されている開発用ワークステーションや共有システムにおいては、現実的な攻撃が懸念される。機密性および整合性に対して深刻な影響が生じるが、可用性への影響は限定的とされている。
| Field | Details |
| CVE ID | CVE-2026-22718 |
| Vulnerability Type | Command Injection |
| Affected Product | Spring CLI VSCode Extension |
| Affected Versions | 0.9.0 and older (all unsupported) |
| Severity | MEDIUM |
| CVSS v3.1 Score | 6.8 |
このエクステンションは、2025年5月14日に正式サポートが終了となっており、それ以降はセキュリティ更新やメンテナンスが提供されていない。サポート終了状態であるにもかかわらず、Spring 開発チームは CVE を割り当て文書化した。その背景にあるのは、ユーザーに対する透明性の確保および、開発環境からの削除の重要性である。
このエクステンションのバージョン 0.9.0 以下は、すべてが脆弱であるため、最も重要な緩和策は明確である。開発者にとって必要なことは、この脆弱なエクステンションを VSCode 環境から直ちにアンインストールすることだ。前述の通り、このツールはすでにサポート終了状態にあり、修正済みバージョンは存在しない。したがって、削除が唯一の有効な防御策となる。
開発チームにとって必要なことは、Spring CLI エクステンションがインストールされている環境を特定した上で、すべてのコーディング環境から削除することである。その対象に含まれるのは、スタンドアロン・ワークステーション/共有開発マシン/VSCode エクステンションを使用する可能性のある CI/CD パイプラインとなる。
この脆弱性は、セキュリティ研究者 Yue Liu により責任ある形で開示されたものであり、オープンソース・エコシステムにおける協調的な脆弱性報告の重要性を示している。
今回の脆弱性が示すのは、非推奨のツールであっても、サポート終了ソフトウェアからの移行が遅れた場合に生じるリスクに対する、継続的なセキュリティ意識の必要性である。
今後において、同様の機能が必要な開発者は、サポートされている代替ツールへと速やかに移行し、継続的なメンテナンスとセキュリティ・パッチにより、開発ツールが最新の状態に保たれていることを確認すべきである。
VSCode で Spring Boot 開発を支援する Spring CLI エクステンションにおいて、任意のコマンド実行の脆弱性 CVE-2026-22718 が発見されました。この問題の原因は、エクステンション内部での入力値の処理に不備があり、特定の条件下で外部から送り込まれた悪意のコマンドを、そのまま実行してしまうことにあります。これにより、開発環境の安全性を脅かす、機密情報の漏洩やシステムの書き換えなどのリスクが生じています。このツールはすでに2025年5月にサポートが終了しており、今回の問題に対する修正パッチは提供されません。そのため、環境内にインストールされている場合には、速やかなアンインストールが唯一の確実な対策となります。ご利用のチームは、ご注意ください。よろしければ、Spring Boot での検索結果を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.