CVE-2026-45539 in apm
要約
〜によって VulDB • 2026年05月27日
Microsoft APMは、AIエージェント向けのオープンソースでコミュニティ主導の依存関係管理ツールです。バージョン0.5.4から0.12.4の間、apm-cli内の2つの基本的な統合コンポーネントは、`Path.glob()`および`Path.rglob()`の生呼び出しを使用してパッケージファイルを列挙し、`Path.read_text()`で各一致するファイルを読み取ります。この際、シンボリックリンクが透過的に追跡されます。`.apm/prompts/<x>.prompt.md`または`.apm/agents/<x>.agent.md`内のリモートAPM依存関係にコミットされたシンボリックリンクは、クローン時に`apm_modules/`内にそのまま保持され、統合中に参照解除されます。その後、解決されたコンテンツがプロジェクトのデプロイディレクトリ内の通常ファイルとして書き込まれます。パッケージの`content_hash`、デプロイ前のSecurityGateスキャン、および`apm audit`はこの問題を検出しません。デプロイルートは自動生成される`.gitignore`に追加されないため、生成されたファイルはデフォルトで`git add`によってステージングされます。この脆弱性はバージョン0.13.0で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.