出典: Security NEXT – https://www.security-next.com/181801
自然言語処理ライブラリ「NLTK」に深刻なRCE脆弱性が発見
人気の自然言語処理ライブラリ「NLTK」において、任意のコードが実行される可能性のある深刻なリモートコード実行(RCE)脆弱性が明らかになりました。開発チームは既に修正を施したアップデートを公開しています。
主要なポイント
- 脆弱性の内容:「StanfordSegmenter」モジュール内で外部のJavaアーカイブ(JARファイル)を検証せずに読み込むため、細工されたJARファイルを利用して任意のコードを実行される恐れがある。
- 脆弱性識別番号:「CVE-2026-0848」として登録され、CVSSv3.0のベーススコアは最大の10.0、評価は「クリティカル(Critical)」とされた。
- 影響範囲:NLTKのバージョン3.9.2が影響を受けており、特に「StanfordSegmenter」モジュールを利用している環境が対象。
- 修正内容:2026年2月21日に公開されたバージョン3.9.3で、JARファイルのハッシュ検証機能を追加し、未検証のJARファイルの実行をブロックする仕組みを導入。
- 対応の重要性:脆弱性の深刻度が非常に高いため、NLTKを利用しているユーザーは速やかに最新版へアップデートする必要がある。
技術的な詳細や背景情報
NLTK(Natural Language Toolkit)はPythonで書かれた自然言語処理ライブラリで、多くの研究者や開発者に利用されています。その中の「StanfordSegmenter」モジュールは、Javaで実装された形態素解析器を利用するためにJARファイルを読み込みます。
今回の脆弱性は、このJARファイルの読み込み時にファイルの正当性を検証しない点に起因しています。攻撃者が細工した悪意あるJARファイルを用意し、これを読み込ませることで、Javaコードが実行され、結果としてPython環境上で任意のコードが実行されるリスクが発生しました。
この種の脆弱性は「リモートコード実行(RCE)」と呼ばれ、外部から悪意のあるコードを実行されるため、システムの完全な制御を奪われる可能性があります。CVSS(共通脆弱性評価システム)において最高評価の10.0が付与されていることからも、その危険性の高さがうかがえます。
影響や重要性
NLTKは自然言語処理分野で広く使われているため、この脆弱性は研究機関や企業のシステムに大きな影響を及ぼす可能性があります。特に外部からの入力を受け付ける環境や、共有環境での利用時には攻撃のリスクが高まります。
悪用されると、システム乗っ取りや情報漏洩、さらには他のネットワークへの攻撃の踏み台にされる恐れもあるため、迅速な対応が求められます。開発チームによる修正は既に公開されているため、ユーザーは速やかにアップデートを適用し、安全性を確保してください。
まとめ
自然言語処理ライブラリ「NLTK」の「StanfordSegmenter」モジュールにおいて、JARファイルの検証不足によるリモートコード実行の脆弱性「CVE-2026-0848」が発見されました。CVSSスコア10.0のクリティカルな問題であり、影響を受けるバージョンは3.9.2です。開発チームは2026年2月に修正版3.9.3をリリースし、JARファイルのハッシュ検証機能を追加して対策を行っています。NLTKユーザーは速やかに最新版へアップデートし、セキュリティリスクを軽減することが重要です。
