Spring CLIのVSCode拡張機能に存在するコマンドインジェクションの脆弱性により、攻撃者は影響を受けるユーザーマシン上で任意のコマンドを実行できます。
CVE-2026-22718として追跡されているこの欠陥は、0.9.0までのすべてのバージョンに影響し、サポート終了(EOL)にもかかわらず非推奨のツールに依存し続けている開発者にとって重大なセキュリティリスクとなります。
この脆弱性により、システムへのアクセス権を持つローカル攻撃者は、拡張機能のコマンド処理ロジックにおける不適切な入力検証を悪用して任意のコマンドを実行できます。
攻撃の成立にはローカルアクセスと、トリガーのためのユーザー操作が必要ですが、システムの機密性と完全性に与える潜在的な影響を踏まえると、修正対応は急務です。
この欠陥はMEDIUM(中)評価で、CVSS v3.1スコアは6.8です。
Spring CLIのVSCode拡張機能は2025年5月14日に正式にサポート終了となり、それ以降セキュリティ更新やメンテナンスは一切提供されていません。
非推奨の状態にもかかわらず、Spring開発チームは影響を受けるユーザーとの透明性のあるコミュニケーションを確保し、開発環境から拡張機能を削除する重要性を強調するために、CVEを割り当てて文書化しました。
修正版が存在しないため、開発者は安全なリリースへアップグレードできません。代わりに、拡張機能をアンインストールすることが唯一実行可能な防御策となります。
この対応は、開発ツールチェーンにおけるサポートされていないソフトウェアがもたらす、より広範な課題を浮き彫りにしています。
ユーザーは移行の緊急性をすぐには認識できず、既知のエクスプロイトに対してシステムが脆弱なままになる可能性があります。
組織は監査を実施し、開発チーム全体でSpring CLI拡張機能がインストールされたままになっている箇所を特定すべきです。
この棚卸しには、個別の開発者ワークステーション、共有の開発マシン、そして自動化ワークフローにVSCode拡張機能を組み込んでいる可能性のあるCI/CDパイプラインを含める必要があります。
Spring CLIの機能に依存している開発者は、サポートされている代替手段へ移行し、開発ツールが継続的に保守され、定期的なセキュリティパッチを受け取れる状態を確保すべきです。
セキュリティ研究者のYue Liuは、この脆弱性を責任を持って開示し、オープンソースのエコシステムにおける協調的な脆弱性報告の重要性を示しました。
この脆弱性は、非推奨のツールであっても、サポートされていないソフトウェアからの移行の必要性を見落としがちなユーザーを守るために、セキュリティ上の注意が必要であることを思い起こさせます。
サポート終了日を把握し、古いツールを積極的に廃止していくことは、既知の脅威から開発環境を守るうえで不可欠です。
翻訳元: https://cyberpress.org/spring-cli-tool-vulnerability-enables-command-execution-on-user-machines/