日本語プログラム言語環境「なでしこ3」に複数の脆弱性 ～JVNが注意喚起

JVNの脆弱性レポート「JVN#56968681」

　脆弱性ポータルサイト「JVN」は10月20日、日本語プログラム言語環境「なでしこ3」に複数の脆弱性が存在することを明らかにした。

　内容は以下の通りで、7日リリースのvv3.3.75およびそれ以降であれば問題は解決されている。執筆時現在の最新版は、13日公開のv3.3.76。

• CVE-2022-41642：PC向けランタイム「cnako3」で圧縮・解凍命令を実行するとコマンドインジェクションにつながるおそれ（v3.3.62で修正済み）
• CVE-2022-41777：簡易エディター「nako3edit」の「decodeURIComponent」で入力値の検証不備により、サーバー機能を停止される（v3.3.75で修正済み）
• CVE-2022-42496：簡易エディター「nako3edit」でAPIキーが漏洩した場合、ファイルの保存・実行でコマンドインジェクションのおそれ（v3.3.75で修正済み）

　深刻度の評価は、「CVSS v3」の基本値で最大「9.8」。できるだけ早い対応を心がけたい。