Spring CLIのVSCode拡張機能に存在するコマンドインジェクションの脆弱性により、攻撃者は影響を受けるユーザーマシン上で任意のコマンドを実行できます。
CVE-2026-22718として追跡されているこの脆弱性は、拡張機能の0.9.0までのすべてのバージョンに影響し、EOL(サポート終了)であるにもかかわらず旧式のツールを使い続けている開発者にとって重大なリスクとなります。
脆弱性の詳細
Spring CLIのVSCode拡張機能にはコマンドインジェクションの欠陥が含まれており、攻撃者はこれを悪用して侵害されたシステム上で任意のコマンドを実行できます。
この脆弱性の悪用にはローカルアクセスとユーザー操作が必要です。しかし、深刻度はMEDIUM(中)と評価されており、システムの機密性と完全性に対する影響は高いとされています。
| 項目 | 詳細 |
| CVE ID | CVE-2026-22718 |
| 脆弱性の種類 | コマンドインジェクション |
| 影響を受ける製品 | Spring CLI VSCode 拡張機能 |
| 影響を受けるバージョン | 0.9.0以前(すべてサポート対象外) |
| 深刻度 | MEDIUM |
| CVSS v3.1 スコア | 6.8 |
この拡張機能は2025年5月14日に正式にEOLを迎えており、数か月にわたりセキュリティ更新やメンテナンスを受けていません。
EOLであるにもかかわらず、Spring開発チームはユーザーとの透明性のあるコミュニケーションを確保し、非推奨となった拡張機能を開発環境から削除する重要性を強調するために、このCVEを割り当てて文書化することを選択しました。
コマンドインジェクションの脆弱性はローカルの攻撃ベクターに依存しており、攻撃者がすでにローカルシステムへのアクセス権を持っている必要があります。
この攻撃は低い権限と、トリガーするためのユーザー操作を必要とするため、侵害された開発用ワークステーションや共有システムにおいて実用的な攻撃面となります。
この脆弱性により、機密性および完全性に対する高い影響の違反が発生し得るほか、可用性への影響は限定的です。
Spring CLIのVSCode拡張機能は、0.9.0を含むそれ以前のすべてのバージョンが脆弱です。
重要な緩和策は明確です。開発者はVSCode環境から脆弱な拡張機能を直ちにアンインストールすべきです。
拡張機能がEOLであるため修正版は存在せず、削除が唯一の実行可能な防御策となります。
組織は開発チームを監査し、Spring CLI拡張機能がインストールされたままの箇所を特定し、すべてのコーディング環境での削除を調整すべきです。
これには、単独のワークステーション、共有の開発マシン、そしてVSCode拡張機能を使用する可能性のあるCI/CDパイプラインが含まれます。
この脆弱性はセキュリティ研究者のYue Liuによって責任ある開示が行われ、オープンソースのエコシステムにおける協調的な脆弱性報告の重要性を示しています。
Springの発見は、非推奨のツールであっても、サポート対象外ソフトウェアから移行する必要性をすぐに認識できないユーザーを保護するために、セキュリティ上の注意が必要であることを強調しています。
Spring CLIの機能に依存している開発者は、サポートされている代替手段へ移行し、開発ツールが継続的なメンテナンスとセキュリティパッチによって最新の状態に保たれていることを確認すべきです。
翻訳元: https://gbhackers.com/spring-cli-vulnerability/
