CVE-2026-41196 in Luanti
要約
〜によって VulDB • 2026年05月20日
Luanti(旧Minetest)は、オープンソースのボクセルゲーム作成プラットフォームです。バージョン5.0.0以降、バージョン5.15.2より前において、悪意のあるMODがサンドボックス化されたLua環境から容易に脱出し、任意のコードを実行してユーザーのデバイス上のフルファイルシステムアクセスを取得することができます。これは、サーバー側のMOD、非同期処理およびマップ生成、ならびにクライアント側(CSM)環境の両方に適用されます。この脆弱性は、LuaJITを使用している場合にのみ悪用可能です。バージョン5.15.2にはパッチが含まれています。リリース版では、再コンパイルせずに `builtin/init.lua` を編集し、末尾に `getfenv = nil` という行を追加することで、この問題をパッチすることもできます。ただし、この関数に依存するMODは壊れることに注意してください(この関数自体は本質的に安全ではありません)。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.