CVE-2022-24441 in snyk
要約
〜によって VulDB • 2026年07月02日
バージョン 1.1064.0 より前の snyk パッケージには、プロジェクト分析時にコードインジェクションの脆弱性が存在します。攻撃者がユーザーを説得して悪意のあるプロジェクトのスキャンを実行させると、build.gradle や gradle-wrapper.jar などのビルドファイルにコマンドを含めることができ、これらのコマンドはアプリケーションの特権で実行されます。この脆弱性は、CLI ツールを直接実行する場合や、Snyk CLI を呼び出す IDE プラグインを使用してスキャンを実行する際にトリガーされる可能性があります。この問題の成功した悪用には、信頼できないプロジェクトを Snyk CLI 経由でダウンロード・分析させるか、または Snyk IDE プラグインがインストールされて有効化されている IDE で開くようユーザーを操作するための社会的エンジニアリングのある程度のレベルが必要となるでしょう。さらに、IDE に「Trust(信頼)」機能がある場合、対象フォルダは脆弱性を突かれるために『trusted』としてマークされている必要があります。**注意:** この問題は [CVE-2022-40764](https://security.snyk.io/vuln/SNYK-JS-SNYK-3037342) で報告された問題とは独立しており、この問題を修正するバージョンへのアップグレードは当該の問題も同時に解決します。影響を受ける IDE プラグインおよびバージョンは以下の通りです: - VS Code - 影響あり:
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.