← 脆弱性報告
CVE-2026-48732
CVE HIGHWarp のリモート SSH cwd による OS コマンドインジェクション
GHSA-qqpc-wvvw-4269
種別 CVE
影響を受けるパッケージ Warp
影響を受けるバージョン
>= v0.2023.03.21.08.02.stable_00
修正済みバージョン
v0.2026.05.06.15.42.stable_01
CVSS
8.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CWE
CWE-78
公開日 2026-06-09
概要
Warp の legacy SSH background command path における OS コマンドインジェクション脆弱性。SSH セッションから報告されたリモートの作業ディレクトリをヘルパーコマンドの組み立てに利用する際、埋め込まれたシングルクォートのエスケープが不十分だった。攻撃者が制御するリモートホスト、リポジトリ、またはディレクトリ名を通じて追加のシェル構文を注入することで、被害者の認証済み SSH アカウント権限で接続先リモートホスト上のコマンド実行につながる可能性がある。