製品・ソフトウェアに関する情報

JVN脆弱性詳細

HederaのGuardianにおける誤った領域へのリソースの漏えいに関する脆弱性

Title	HederaのGuardianにおける誤った領域へのリソースの漏えいに関する脆弱性
Summary	Hashgraph Guardianのバージョン3.5.0以前には、Custom Logicポリシーブロックワーカーにサンドボックス化されていないJavaScript実行の脆弱性が存在していました。これにより、認証されたStandard Registryユーザーは、ユーザー提供のJavaScript式を隔離なしでNode.jsのFunction()コンストラクタに直接渡すことで、任意のコードを実行できます。攻撃者はネイティブのNode.jsモジュールをインポートし、コンテナのファイルシステムから任意のファイルを読み取れます。また、RSA秘密鍵やJWT署名鍵、APIトークンなどの機密クレデンシャルを含むプロセス環境変数にアクセスし、管理者を含む任意のユーザーの有効な認証トークンを偽造することが可能です。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 9, 2026, midnight
Registration Date	April 23, 2026, 10:16 a.m.
Last Update	April 23, 2026, 10:16 a.m.

CVSS3.0 : 重要
Score	8.8
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Affected System

Hedera

Guardian 3.5.0 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-39911	https://www.cve.org/CVERecord?id=CVE-2026-39911
National Vulnerability Database (NVD)
2	CVE-2026-39911	https://nvd.nist.gov/vuln/detail/CVE-2026-39911

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-668	https://cwe.mitre.org/data/definitions/668.html

ベンダー情報

No	Name	URL
VulnCheck
1	Hashgraph Guardian 3.5.0 Unsandboxed JavaScript Execution RCE \| Advisories \| VulnCheck	https://www.vulncheck.com/advisories/hashgraph-guardian-unsandboxed-javascript-execution-rce

その他

No	Name	URL
関連文書
1	fix: sandbox JavaScript Custom Logic worker with vm.createContext by Chocapikk Pull Request #5929 hashgraph/guardian GitHub	https://github.com/hashgraph/guardian/pull/5929

Change Log

No	Changed Details	Date of change
1	[2026年04月23日] 掲載	April 23, 2026, 10:16 a.m.

NVD Vulnerability Information

CVE-2026-39911

Summary	Hashgraph Guardian through version 3.5.0 contains an unsandboxed JavaScript execution vulnerability in the Custom Logic policy block worker that allows authenticated Standard Registry users to execute arbitrary code by passing user-supplied JavaScript expressions directly to the Node.js Function() constructor without isolation. Attackers can import native Node.js modules to read arbitrary files from the container filesystem, access process environment variables containing sensitive credentials such as RSA private keys, JWT signing keys, and API tokens, and forge valid authentication tokens for any user including administrators.
Publication Date	April 10, 2026, 3:17 a.m.
Registration Date	April 15, 2026, 11:34 a.m.
Last Update	April 22, 2026, 9:37 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:hedera:guardian::::::::			3.5.0

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/hashgraph/guardian/pull/5929	disclosure@vulncheck.com
2	https://www.vulncheck.com/advisories/hashgraph-guardian-unsandboxed-javascript-execution-rce	disclosure@vulncheck.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-668	誤った領域へのリソースの漏えい	https://cwe.mitre.org/data/definitions/668.html