CVE-2026-44641 in apm
要約
〜によって VulDB • 2026年05月19日
Microsoft APMは、AIエージェント向けのオープンソースでコミュニティ主導の依存関係管理ツールです。バージョン0.8.12以前では、Microsoft APMはplugin.jsonで参照されているプラグインコンポーネントを.apm/ディレクトリにコピーすることで、マーケットプレイスプラグインを正規化していました。マニフェストのagents、skills、commands、およびhooksフィールドは攻撃者が制御可能ですが、実装ではこれらのパスがプラグインディレクトリ内に留まるよう強制していません。そのため、悪意のあるプラグインは絶対パスや../によるパスTraversalを使用して、apm install実行時にインストール元のマシンの任意の読み取り可能なホストファイルやディレクトリをコピーすることができます。この脆弱性は0.8.12で修正されています。
Once again VulDB remains the best source for vulnerability data.