製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

M1k1oのNekoにおける複数の脆弱性

タイトル	M1k1oのNekoにおける複数の脆弱性
概要	NekoはDocker上で動作し、WebRTCを使用するセルフホスト型の仮想ブラウザです。バージョン3.0.0から3.0.10および3.1.0から3.1.1の間には、認証済みの任意のユーザーが即座にNekoインスタンス全体の完全な管理権限（メンバー管理、ルーム設定、放送制御、セッション終了など）を取得できる脆弱性が存在しています。これにより、インスタンスは完全に侵害されます。この脆弱性はv3.0.11およびv3.1.2で修正されています。すぐにアップグレードできない場合は、以下の緩和策によりリスクを軽減できます。信頼できるユーザーのみにアクセスを制限し（信頼できない者にアカウントを付与しないこと）、すべてのユーザーパスワードを強固にし信頼できる人物とのみ共有してください。インスタンスは必要な時のみ稼働させ、常時公開は避けてください。リバースプロキシなどの追加アクセス制御を持つ認証層の背後に配置し、可能であれば/api/profileエンドポイントへのアクセスを無効化または制限してください。また疑わしい特権変更や予期しない管理操作を監視することを推奨します。これらはあくまで一時的な緩和策であり、脆弱性を完全に解消するものではありません。アップグレードを強く推奨します。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月21日0:00
登録日	2026年4月27日11:27
最終更新日	2026年4月27日11:27

CVSS3.0 : 重要
スコア	8.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

M1k1o

Neko 3.0.0 以上 3.0.11 未満

Neko 3.1.0 以上 3.1.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-39386	https://www.cve.org/CVERecord?id=CVE-2026-39386
National Vulnerability Database (NVD)
2	CVE-2026-39386	https://nvd.nist.gov/vuln/detail/CVE-2026-39386

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html
2	CWE-269	https://cwe.mitre.org/data/definitions/269.html
3	CWE-284	https://cwe.mitre.org/data/definitions/284.html
4	CWE-639	https://cwe.mitre.org/data/definitions/639.html
5	CWE-862	https://cwe.mitre.org/data/definitions/862.html

ベンダー情報

No	名前	URL
GitHub
1	Self-service Privilege Escalation for Authenticated Users Advisory m1k1o/neko GitHub	https://github.com/m1k1o/neko/security/advisories/GHSA-2gw9-c2r2-f5qf

その他

No	名前	URL
関連文書
1	Release v3.0.11 m1k1o/neko GitHub	https://github.com/m1k1o/neko/releases/tag/v3.0.11
2	Release v3.1.2 m1k1o/neko GitHub	https://github.com/m1k1o/neko/releases/tag/v3.1.2

変更履歴

No	変更内容	変更日
1	[2026年04月27日] 掲載	2026年4月27日11:27

NVD脆弱性情報

CVE-2026-39386

概要	Neko is a a self-hosted virtual browser that runs in Docker and uses WebRTC In versions 3.0.0 through 3.0.10 and 3.1.0 through 3.1.1, any authenticated user can immediately obtain full administrative control of the entire Neko instance (member management, room settings, broadcast control, session termination, etc.). This results in a complete compromise of the instance. The vulnerability has been patched in v3.0.11 and v3.1.2. If upgrading is not immediately possible, the following mitigations can reduce risk: Restrict access to trusted users only (avoid granting accounts to untrusted parties); ensure all user passwords are strong and only shared with trusted individuals; run the instance only when needed; avoid leaving it continuously exposed; place the instance behind authentication layers such as a reverse proxy with additional access controls; disable or restrict access to the /api/profile endpoint if feasible; and/or monitor for suspicious privilege changes or unexpected administrative actions. Note that these are temporary mitigations and do not fully eliminate the vulnerability. Upgrading is strongly recommended.
公表日	2026年4月21日10:16
登録日	2026年4月25日4:02
最終更新日	2026年4月24日3:21

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:m1k1o:neko::::::::		3.0.0			3.0.11
cpe:2.3:a:m1k1o:neko::::::::		3.1.0			3.1.2

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/m1k1o/neko/releases/tag/v3.0.11	security-advisories@github.com
2	https://github.com/m1k1o/neko/releases/tag/v3.1.2	security-advisories@github.com
3	https://github.com/m1k1o/neko/security/advisories/GHSA-2gw9-c2r2-f5qf	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html
2	CWE-284	不適切なアクセス制御	https://cwe.mitre.org/data/definitions/284.html
3	CWE-269	不適切な権限管理	https://cwe.mitre.org/data/definitions/269.html
4	CWE-639	ユーザ制御の鍵による認証回避	https://cwe.mitre.org/data/definitions/639.html
5	CWE-862	認証の欠如	https://cwe.mitre.org/data/definitions/862.html