VRDA Feed by JPCERT/CC
  Vulnerability Response Decision Assistance Feed : 脆弱性脅威分析用情報の定型データ配信
[ about VRDA Feed | JPCERT/CC



 
分析対象脆弱性情報 (リビジョン番号 : 1) [ Download XML
JVNDB-2026-008000     ( CVE-2026-28500 | CVE-2026-28500 )
Linux FoundationのONNXにおける複数の脆弱性
https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-008000.html

原文

Open Neural Network Exchange (ONNX) は、機械学習の相互運用性のためのオープン標準です。バージョン1.20.1まで(含む)において、onnx.hub.load() 関数にはリポジトリ信頼性検証メカニズムの不適切なロジックによりセキュリティ制御のバイパスが存在します。この関数は公式以外のソースからモデルを読み込む際にユーザーに警告を出すよう設計されていますが、silent=True パラメータを使用するとすべてのセキュリティ警告および確認プロンプトを完全に抑制します。この脆弱性により、標準のモデル読み込み関数がゼロインタラクション供給連鎖攻撃(Zero-Interaction Supply-Chain Attacks)の攻撃ベクトルになります。ファイルシステムの脆弱性と組み合わさると、攻撃者はモデルが読み込まれた瞬間に被害者のマシンから機密ファイル(SSHキー、クラウド資格情報など)をサイレントに外部へ持ち出すことが可能になります。現時点で修正済みのバージョンは存在していません。

翻訳   (表示)





この情報について
分析情報提供元:
JVN iPedia
初版公開日:
2026-03-23
分析対象脆弱性情報の分類:
アドバイザリ・注意喚起
最終更新日:
2026-03-23




脆弱性の影響を受ける製品の識別子
cpe:/a:linuxfoundation:onnx
 


脆弱性の分析内容
[攻撃元区分]  [?]
未評価 [?]

ローカル [?]
隣接 [?]
ネットワーク [?]
[攻撃条件の複雑さ]  [?]
未評価 [?]

 [?]
 [?]
 [?]
[攻撃前の認証要否]  [?]
未評価 [?]

複数 [?]
単一 [?]
不要 [?]
[機密性への影響]  [?]
未評価 [?]

影響なし [?]
部分的 [?]
全面的 [?]
[完全性への影響]  [?]
未評価 [?]

影響なし [?]
部分的 [?]
全面的 [?]
[可用性への影響]  [?]
未評価 [?]

影響なし [?]
部分的 [?]
全面的 [?]
関連情報
Common Vulnerabilities and Exposures (CVE) CVE-2026-28500




National Vulnerability Database (NVD) CVE-2026-28500








参考情報
GitHub Untrusted Model Repository Warning Suppressed by silent=True in onnx.hub.load() — Silent Supply-Chain Attack Advisory onnx/onnx GitHub




JVNDB CWE-693 保護メカニズムの不具合




JVNDB CWE-494 ダウンロードしたコードの完全性検証不備




JVNDB CWE-345 データの信頼性についての不十分な検証




関連文書 CVEs/2026/CVE-2026-28500.md at main ZeroXJacks/CVEs GitHub




Copyright © 2026 JPCERT/CC All Rights Reserved.