| Title | OpenC3のOpenC3 COSMOSにおける不要な特権による実行に関する脆弱性 |
|---|---|
| Summary | OpenC3 COSMOSは、1つ以上の組み込みシステムにコマンドを送信し、データを受信するために必要な機能を提供します。バージョン7.0.0-rc3以前では、Script Runnerウィジェットによりユーザーはopenc3-COSMOS-script-runner-apiコンテナから直接PythonおよびRubyスクリプトを実行できました。すべてのDockerコンテナがネットワークを共有しているため、ユーザーは特別に細工されたスクリプトを実行することでAPIの権限チェックをバイパスし、Redisデータベース内のデータの読み取りと変更を含む管理アクションを実行できました。これにより、COSMOSの設定の読み取りや変更、設定ファイル、ログ、プラグインファイルを保持するバケットサービスへの読み書きが可能になりました。これらの操作は通常、管理コンソールまたは管理者権限からのみ利用可能です。スクリプトの作成および実行権限を持つユーザーは、Dockerネットワーク内の任意のサービスに接続できます。この問題はバージョン7.0.0-rc3で修正されました。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 4, 2026, midnight |
| Registration Date | May 15, 2026, 11 a.m. |
| Last Update | May 15, 2026, 11 a.m. |
| CVSS3.0 : 重要 | |
| Score | 8.1 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
| OpenC3 |
| OpenC3 COSMOS 7.0.0 |
| OpenC3 COSMOS 7.0.0 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月15日] 掲載 |
May 15, 2026, 11 a.m. |
| Summary | OpenC3 COSMOS provides the functionality needed to send commands to and receive data from one or more embedded systems. Prior to version 7.0.0-rc3, the Script Runner widget allows users to execute Python and Ruby scripts directly from the openc3-COSMOS-script-runner-api container. Because all the docker containers share a network, users can execute specially crafted scripts to bypass the API permissions check and perform administrative actions, including reading and modifying data inside the Redis database, which can be used to read secrets and change COSMOS settings, as well as read and write to the buckets service, which holds configuration, log, and plugin files. These actions are normally only available from the Admin Console or with administrative privileges. Any user with permission to create and run scripts can connect to any service in the docker network. This issue has been patched in version 7.0.0-rc3. |
|---|---|
| Publication Date | May 5, 2026, 3:16 a.m. |
| Registration Date | May 5, 2026, 4:07 a.m. |
| Last Update | May 8, 2026, 12:05 a.m. |