JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-010236 awesome-llm-appsプロジェクトの2026年1月19日のコミットe46690f99c3f08be80a9877fab52acacf7ab8251には、クロスセッション情報漏洩の脆弱性が存在します。影響を受けるStreamlitベースのGitHub MCP Agentは、ユーザーが提供したAPIトークンをos.environを用いてプロセス全体の環境変数に保存しており、適切なセッション分離が行われていません。Streamlitは単一のPythonプロセスで複数の同時ユーザーにサービスを提供するため、あるユーザーが提供した認証情報が後続の未認証ユーザーにもアクセス可能なまま残っています。攻撃者はこの脆弱性を悪用して、GitHubの個人用アクセストークンやLLM APIキーなどの機密情報を取得し、プライベートリソースへの不正アクセスや金銭的悪用を引き起こす可能性があります。 cpe:/a:theunwindai:awesome_llm_apps https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-010236.html Common Vulnerabilities and Exposures (CVE) CVE-2026-29872 https://www.cve.org/CVERecord?id=CVE-2026-29872 National Vulnerability Database (NVD) CVE-2026-29872 https://nvd.nist.gov/vuln/detail/CVE-2026-29872 GitHub security-research/CVE-2026-29872.md at main lilmingwa13/security-research GitHub https://github.com/lilmingwa13/security-research/blob/main/CVE-2026-29872.md JVNDB CWE-200 https://jvndb.jvn.jp/ja/cwe/CWE-200.html JVNDB CWE-522 https://cwe.mitre.org/data/definitions/522.html JVNDB CWE-284 https://cwe.mitre.org/data/definitions/284.html 2026-04-08T10:55:05+09:00 2026-04-08T10:55:05+09:00