🔥 この記事の詳細
2026-07-06 更新
B
今週中

Pulpy 0.1.1-Beta 以下のバージョンにおいて、ファイルシステムサンドボックスをバイパスできる脆弱性

脆弱性🌐 英語ソース
🔢 CVECVE-2026-44225
📅 2026-07-06📰 exploit_db
📌 一言でいうと
Pulpy 0.1.1-Beta 以下のバージョンにおいて、ファイルシステムサンドボックスをバイパスできる脆弱性が発見されました。不完全なブロックリストにより、ユーザーディレクトリや設定ファイル(.ssh, .aws等)への不正アクセスが可能です。悪意のあるパッケージを通じて、ホスト上の機密ファイルの読み書きが行われるリスクがあります。
🔍該当判定
  • Pulpy(Webアプリをデスクトップアプリ化するツール)を利用して自社アプリを開発・配布している
  • 社内で Pulpy バージョン 0.1.1-Beta 以下の環境を運用している
  • Pulpy でパッケージ化された外部製アプリを、社内PCやサーバーにインストールして利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
最新の修正バージョンへのアップデートを確認し、信頼できないソースから提供されたPulpyパッケージの実行を避けてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Pulpy CVE-2026-44225 サンドボックスバイパスの脆弱性について

お疲れさまです。Pulpyに関する脆弱性の情報共有です。

■ 概要
Pulpyのファイルシステムアクセス制限(サンドボックス)を回避し、ホスト上の任意の機密ファイルにアクセス可能な脆弱性が報告されました。不完全なパス検証により、ユーザーディレクトリ内の設定ファイル等が読み書きされる可能性があります。

■ 影響範囲
- 対象製品: Pulpy
- 対象バージョン: 0.1.1-Beta 以下のバージョン

■ 対応手順
1. 社内でPulpyを利用してアプリケーションをパッケージ化・運用していないか確認してください。
2. 利用している場合は、最新のパッチ適用または代替手段を検討してください。
3. 信頼できないサードパーティ製パッケージの導入を制限してください。

■ 参考情報
- Exploit-DB EDB-ID: 52616
- CVE-2026-44225

対応優先度: 中
対応期限: 速やかに確認
Subject: [Security Advisory] Pulpy Sandbox Bypass Vulnerability (CVE-2026-44225)

Dear IT/Security Team,

We are sharing information regarding a vulnerability in Pulpy.

■ Overview
A filesystem sandbox bypass vulnerability (CVE-2026-44225) has been identified in Pulpy. Due to an incomplete blocklist in the path validation function, malicious applications can bypass the sandbox to read or write sensitive files (e.g., ~/.ssh, ~/.aws) on the host system.

■ Scope
- Product: Pulpy
- Affected Versions: <= 0.1.1-Beta

■ Recommended Actions
1. Identify if Pulpy is being used within the organization to package web applications.
2. Update to a patched version or implement stricter environment controls.
3. Restrict the execution of untrusted packaged applications.

■ Reference
- Exploit-DB EDB-ID: 52616
- CVE-2026-44225

Priority: Medium
Deadline: Immediate review