⚠️
InSpec に重大な脆弱性 – CVE-2023-42658
InSpec CLI に重大な脆弱性があることがアナウンスされています。(公式アナウンスリンク)
脆弱性の内容、対処方法、Fix バージョンについて説明します。
CVE-2023-42658
公式 CVE リンク: 重大な脆弱性として報告されており、早急な対処が必要であることがわかります。
影響範囲
InSpec CLI の archive check export コマンド実行時に、InSpec テストコードに悪意のある Ruby コードが実行されてしまう危険性があると説明されています。特に CI/CD パイプラインの中で InSpec がテストとして組み込まれている場合は、特に注意する必要があります。知らぬ間に、意図しない Ruby コードが実行されてしまう危険性があります。
さらに詳しくは、以下の技術ブログで説明されていました。
Discussion