← Back

CrewAI に複数の脆弱性

Source
 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は4月9日、CrewAIにおける複数脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り

CrewAI

 マルチエージェントAIシステムを構築するためのフレームワークCrewAIには、下記影響を受ける可能性がある複数脆弱性存在する。

・Pythonコードを実行するためのCodeInterpreterToolにおいて、Dockerが利用できない場合に、SandboxPythonが用いられるため、C言語関数呼び出しによりコードが実行される(CVE-2026-2275) →リモートコード実行

複数のRAG検索ツールにおいてURLが適切検証されていないため、内部またはクラウドのサービスからコンテンツを取得可能なサーバサイドリクエストフォージェリの脆弱性存在する(CVE-2026-2286) →サーバサイドリクエストフォージェリ

・CrewAIにおいて、Dockerの実行状態正しくチェックされず、代わりにサンドボックスが使われる可能性がある(CVE-2026-2287) →リモートコード実行

・JSONの読み込み処理において、入力パスの検証が行われていないため、サーバ上の任意のローカルファイルを読み取られる可能性がある(CVE-2026-2285) →任意のファイル読み取り

 JVNでは、開発者提供する情報もと最新版へアップデートするよう呼びかけている。なお、CVE-2026-2275とCVE-2026-2287については、CrewAI 1.11.0で修正されている。

Vocabulary

General Proper noun JLPT N2 JLPT N1
# 言葉 意味
5 実行じっこう (実行) : execution (e.g. of a plan); carrying out; practice; action; implementation; fulfillment; realization
3 複数ふくすう (複数) : plural; multiple; several
3 脆弱性ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility
3 可能性かのうせい (可能性) : potentiality; likelihood; possibility; availability
2 影響えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on
2 存在そんざい (存在) : existence; being
2 検証けんしょう (検証) : verification; inspection
2 任意にんい (任意) : 1. optional; voluntary; arbitrary; random; discretionary; facultative; spontaneous; any 2. arbitrary
1 独立行政法人どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency)
1 情報処理推進機構じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization)
1 およびおよび (及び) : and; as well as
1 一般社団法人いっぱんしゃだんほうじん (一般社団法人) : general incorporated association
1 発表はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling
1 通りとおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic
1 構築こうちく (構築) : construction; building; putting up; erecting; creation; formulation; architecture (systems, agreement, etc.)
1 下記かき (下記) : the following
1 用いるもちいる (用いる) : to use; to make use of; to utilize; to utilise
1 言語げんご (言語) : language
1 関数かんすう (関数) : 1. function 2. function (programming)
1 呼び出しよびだし (呼び出し) : 1. call; summons; paging; curtain call 2. usher who calls the names of wrestlers, sweeps the ring, etc.
1 検索ツールけんさくツール (検索ツール) : search tool
1 適切てきせつ (適切) : appropriate; suitable; fitting; apt; proper; right; pertinent; relevant
1 内部ないぶ (内部) : interior; inside; internal
1 取得とりえ (取り柄) : worth; merit; value; good point; redeeming feature; saving grace
1 可能かのう (可能) : possible; potential; practicable; feasible
1 状態じょうたい (状態) : state; condition; situation; appearance; circumstances
1 正しくまさしく (正しく) : 1. certainly; surely; undoubtedly; evidently; really; truly 2. just; precisely; exactly
1 読み込みよみこみ (読み込み) : reading; loading
1 処理しょり (処理) : processing; dealing with; treatment; disposition; disposal
1 入力にゅうりょく (入力) : input; (data) entry
1 読み取るよみとる (読み取る) : 1. to read and understand; to take in 2. to sense from external cues; to read (someone's) mind
1 読み取りよみとり (読み取り) : reading (e.g. by a scanner)
1 開発者かいはつしゃ (開発者) : developer
1 提供ていきょう (提供) : 1. offer; tender; providing; supplying; making available; donating (blood, organs, etc.) 2. sponsoring (a TV program)
1 情報じょうほう (情報) : 1. information; news; intelligence; advices 2. information; data contained in characters, signals, code, etc.
1 もともと (元) : 1. origin; source 2. base; basis; foundation; root
1 最新版さいしんばん (最新版) : latest version; latest edition
1 呼びかけるよびかける (呼びかける) : 1. to call out to; to hail; to address 2. to appeal
1 なおなお (尚) : 1. still; yet 2. more; still more; greater; further
1 修正しゅうせい (修正) : amendment; correction; revision; modification; alteration; retouching; update; fix