| Title | M1k1oのNekoにおける複数の脆弱性 |
|---|---|
| Summary | NekoはDocker上で動作し、WebRTCを使用するセルフホスト型の仮想ブラウザです。バージョン3.0.0から3.0.10および3.1.0から3.1.1の間には、認証済みの任意のユーザーが即座にNekoインスタンス全体の完全な管理権限(メンバー管理、ルーム設定、放送制御、セッション終了など)を取得できる脆弱性が存在しています。これにより、インスタンスは完全に侵害されます。この脆弱性はv3.0.11およびv3.1.2で修正されています。すぐにアップグレードできない場合は、以下の緩和策によりリスクを軽減できます。信頼できるユーザーのみにアクセスを制限し(信頼できない者にアカウントを付与しないこと)、すべてのユーザーパスワードを強固にし信頼できる人物とのみ共有してください。インスタンスは必要な時のみ稼働させ、常時公開は避けてください。リバースプロキシなどの追加アクセス制御を持つ認証層の背後に配置し、可能であれば/api/profileエンドポイントへのアクセスを無効化または制限してください。また疑わしい特権変更や予期しない管理操作を監視することを推奨します。これらはあくまで一時的な緩和策であり、脆弱性を完全に解消するものではありません。アップグレードを強く推奨します。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 21, 2026, midnight |
| Registration Date | April 27, 2026, 11:27 a.m. |
| Last Update | April 27, 2026, 11:27 a.m. |
| CVSS3.0 : 重要 | |
| Score | 8.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| M1k1o |
| Neko 3.0.0 以上 3.0.11 未満 |
| Neko 3.1.0 以上 3.1.2 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月27日] 掲載 |
April 27, 2026, 11:27 a.m. |
| Summary | Neko is a a self-hosted virtual browser that runs in Docker and uses WebRTC In versions 3.0.0 through 3.0.10 and 3.1.0 through 3.1.1, any authenticated user can immediately obtain full administrative control of the entire Neko instance (member management, room settings, broadcast control, session termination, etc.). This results in a complete compromise of the instance. The vulnerability has been patched in v3.0.11 and v3.1.2. If upgrading is not immediately possible, the following mitigations can reduce risk: Restrict access to trusted users only (avoid granting accounts to untrusted parties); ensure all user passwords are strong and only shared with trusted individuals; run the instance only when needed; avoid leaving it continuously exposed; place the instance behind authentication layers such as a reverse proxy with additional access controls; disable or restrict access to the /api/profile endpoint if feasible; and/or monitor for suspicious privilege changes or unexpected administrative actions. Note that these are temporary mitigations and do not fully eliminate the vulnerability. Upgrading is strongly recommended. |
|---|---|
| Publication Date | April 21, 2026, 10:16 a.m. |
| Registration Date | April 25, 2026, 4:02 a.m. |
| Last Update | April 24, 2026, 3:21 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:m1k1o:neko:*:*:*:*:*:*:*:* | 3.0.0 | 3.0.11 | |||
| cpe:2.3:a:m1k1o:neko:*:*:*:*:*:*:*:* | 3.1.0 | 3.1.2 | |||