会話型AIアプリケーションを構築するための人気のオープンソースフレームワーク「Chainlit」に存在する2件の高深刻度の脆弱性により、サーバー上の任意のファイルを読み取ったり、機密情報を漏えいさせたりできる可能性があります。
「ChainLeak」と名付けられ、Zafran Labsの研究者によって発見されたこれらの問題は、ユーザーの操作なしに悪用でき、「大企業を含む複数の業界で積極的に展開されているインターネット公開AIシステム」に影響します。
ChainlitのAIアプリ構築フレームワークは、PyPIレジストリで平均して月間70万回のダウンロードがあり、年間では500万回のダウンロードに達します。
チャットベースのAIコンポーネント向けの既製Web UI、バックエンドの配管(plumbing)ツール、認証・セッション処理・クラウドデプロイの組み込みサポートを提供します。通常、企業での導入や学術機関で利用され、インターネットに公開された本番システムでも見つかっています。
Zafranの研究者が発見した2つのセキュリティ問題は、任意ファイル読み取りでCVE-2026-22218として追跡されているものと、サーバーサイドリクエストフォージェリ(SSRF)でCVE-2026-22219として追跡されているものです。
CVE-2026-22218は/project/elementエンドポイントを介して悪用でき、攻撃者が制御可能な「path」フィールドを持つカスタム要素を送信することで、検証なしにChainlitにそのパスのファイルを攻撃者のセッションへコピーさせることができます。
これにより攻撃者は、APIキー、クラウドアカウントの認証情報、ソースコード、内部設定ファイル、SQLiteデータベース、認証用シークレットなど、Chainlitサーバーがアクセス可能な任意のファイルを読み取れるようになります。
CVE-2026-22219はSQLAlchemyデータレイヤーを使用するChainlitのデプロイに影響し、カスタム要素の「url」フィールドを設定することで悪用されます。これによりサーバーは外向きのGETリクエストでそのURLを取得し、応答を保存します。
その後、攻撃者は要素ダウンロード用エンドポイントを介して取得したデータを取り出し、内部RESTサービスへのアクセスや、内部IPおよびサービスの探索が可能になると、研究者らは述べています。
Zafranは、これら2つの欠陥を単一の攻撃チェーンとして組み合わせることで、クラウド環境におけるシステム全体の侵害と横展開(ラテラルムーブメント)を可能にすることを実証しました。
研究者らは2025年11月23日にChainlitのメンテナーへ欠陥を通知し、2025年12月9日に受領確認を得ました。
脆弱性は、Chainlitのバージョン2.9.4のリリース(2025年12月24日)で修正されました。
CVE-2026-22218およびCVE-2026-22219の深刻度と悪用可能性を踏まえ、影響を受ける組織には、できるだけ早くバージョン2.9.4以降(最新は2.9.6)へアップグレードすることが推奨されます。
