CVE-2026-54328 コーディング用ツール「Pi」におけるパス予測による脆弱性

この記事はAIがNVDのCVE情報をもとに要約・生成したものです。影響範囲や対策は、必ずNVDおよび各ベンダーの公式情報をご確認ください。

公開日: 2026-06-23T20:16:49.603 / 更新日: 2026-06-23T20:16:49.603 / CVSS: 7.3 / 深刻度: HIGH

Linuxサーバーを運用する環境において、ターミナル用コーディング・ハーネス「Pi」に関する脆弱性(CVE-2026-54328)が報告されています。この問題は、バージョン0.74.0から0.78.1までの製品において、npmやgitの拡張パッケージを一時的にインストールする際に、OSの一時ディレクトリ内で予測可能なパスを使用することに起因します。

マルチユーザー環境のLinuxシステムにおいては、共通の一時ディレクトリに対して書き込み権限を持つローカルの攻撃者が、別のユーザーが「Pi」を実行する前に、あらかじめ予測されるパスへ悪意のあるパッケージを配置することが可能になります。この状態で被害者がコマンドを実行すると、実行中のプロセスにおいて攻撃者が制御するコードが読み込まれてしまうリスクがあります。

管理上の観点では、複数人で共有するサーバー上でツールを実行する際、共通のディレクトリ構造を介して他ユーザーからの不正なコード注入を受け入れる可能性があることを認識しておく必要があります。管理者は対象となるバージョンの有無を確認し、脆弱性が修正された0.78.1以降へのアップデートを検討してください。確認の際は、共有領域におけるパスの予測可能性が攻撃経路となる仕組みに注意し、適切なパッチ適用を行うことが推奨されます。

参照情報

ソクラテスの問い、プラトンの備え

ソクラテス

プラトンよ、この「Pi」という道具の物語について語ろう。ある広場において、多くの人が共に歩く道が「あらかじめ予測可能である」ということは、その場所に平和をもたらすのか、それとも混乱を招くのか。

プラトン

師よ、それは非常に鋭い問いです。Linuxという多人数が共用するシステムにおいては、共通の一時ディレクトリという広場において「予測可能なパス」が使われていることが、不穏な影を落としています。もし悪意ある者がその道筋を知っていれば、別の者が道具を使う前に、そこに有害なものを置くことができるからです。

ソクラテス

予測される道。つまり、攻撃者がどこに罠を仕掛けるべきかを知り得るということが、この脆弱性の本質なのだな?

プラトン

その通りです。CVE-2026-54328の報告によれば、バージョン0.74.0から0.78.1までのPiにおいて、npmやgitの拡張パッケージを一時的に導入する際にその問題が発生します。管理者としては、まず私たちの環境にこれらの該当バージョンが存在するかを確認し、影響調査を行う必要があります。

ソクラテス

では、この予見される危険から人々の安全を守るためには、どのような知恵を働かせるべきだろうか。

プラトン

現実の管理現場においては、具体的な手順が必要です。まずはベンダー情報を確認し、脆弱性が修正された0.78.1以降へのアップデートを検討しなければなりません。変化を記録する変更管理の手順を踏みつつ、適切なパッチを適用することです。そして、共有領域におけるパスの予測可能性が攻撃経路になるという特性を正しく認識し、継続的な監視を行うことが求められます。

ソクラテス

なるほど。平和を守るためには、単に道具を信じるのではなく、その道筋が誰に開かれ、いかに見えやすいかを常に問い、適切な防御の策を講じることが必要なのだな。

プラトン

おっしゃる通りです。高度な哲学を保ちつつも、私たちは地道なパッチ適用と正確なバージョン管理によって、このデジタルな広場を守らねばなりません。

関連キーワード: linux