製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Nexentにおける外部からアクセス可能なファイルまたはディレクトリに関する脆弱性

タイトル	Nexentにおける外部からアクセス可能なファイルまたはディレクトリに関する脆弱性
概要	nexent v1.7.5.2のバックエンドサービスには、ElasticSearchサービスインターフェースに未承認の任意ファイル削除の脆弱性があります。DELETE /{index_name}/documentsエンドポイントは適切な認証および認可制御を欠いており、ユーザーが提供するpath_or_urlパラメータの検証も行っていません。これにより、認証されていないリモート攻撃者が細工されたリクエストを送信し、ElasticSearchのインデックス内の任意のドキュメントおよびMinIOストレージシステム内の対応するファイルを削除できます。成功した攻撃はデータを破壊し、サービス拒否を引き起こします。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月12日0:00
登録日	2026年5月28日14:33
最終更新日	2026年5月28日14:33

CVSS3.0 : 緊急
スコア	9.1
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

影響を受けるシステム

Nexent

Nexent 1.7.5.2

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-31215	https://www.cve.org/CVERecord?id=CVE-2026-31215
National Vulnerability Database (NVD)
2	CVE-2026-31215	https://nvd.nist.gov/vuln/detail/CVE-2026-31215
Notion
3	CVE-2026-31215 \| Notion	https://www.notion.so/CVE-2026-31215-35d1e139318881f5946ed206d96e34d8

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-552	https://cwe.mitre.org/data/definitions/552.html

その他

No	名前	URL
関連文書
1	GitHub - ModelEngine-Group/nexent: Nexent is a zero-code platform for auto-generating production-grade AI agents using Harness Engineering principles — unified tools, skills, memory, and orchestration with built-in constraints, feedback loops, and contro	https://github.com/ModelEngine-Group/nexent

変更履歴

No	変更内容	変更日
1	[2026年05月28日] 掲載	2026年5月28日14:33

NVD脆弱性情報

CVE-2026-31215

概要	The nexent v1.7.5.2 backend service contains an unauthorized arbitrary file deletion vulnerability in its ElasticSearch service interface. The DELETE /{index_name}/documents endpoint lacks proper authentication and authorization controls and does not validate the user-supplied path_or_url parameter. This allows unauthenticated remote attackers to send crafted requests that trigger the deletion of arbitrary documents from ElasticSearch indices and corresponding files from the MinIO storage system. Successful exploitation leads to data destruction and denial of service.
公表日	2026年5月13日1:16
登録日	2026年5月13日4:12
最終更新日	2026年5月14日0:52

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/ModelEngine-Group/nexent	cve@mitre.org
2	https://www.notion.so/CVE-2026-31215-35d1e139318881f5946ed206d96e34d8	cve@mitre.org

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-552	外部からアクセス可能なファイルまたはディレクトリ	https://cwe.mitre.org/data/definitions/552.html