GitHub リポジトリで重大脆弱性が検出：Tomcat と Thymeleaf に複数の High/Critical リスク

GitHub Actions によるセキュリティスキャンで、バックエンドシステムに複数の重大な脆弱性が発見された。検出された6件の脆弱性のうち、4件が Critical（致命的）、2件が High（重大）に分類されており、特に Thymeleaf テンプレートエンジンと Tomcat サーバーコンポーネントに集中している。この状態は、関連するアプリケーションが外部からの攻撃に対して極めて脆弱な状態にあることを示している。

脆弱性は、hirobuchi 氏が管理する「recipe-app-api」リポジトリの自動ワークフロー実行において検出された。具体的には、`tomcat-embed-core` バージョン 10.1.53 に2件の High 脆弱性（GHSA-rv64-5gf8-9qq8, GHSA-x4m4-345f-5h5g）が、`thymeleaf` および `thymeleaf-spring6` バージョン 3.1.3.RELEASE にそれぞれ2件ずつ、合計4件の Critical 脆弱性（GHSA-r4v4-5mwr-2fwr, GHSA-xjw8-8c5c-9r79）が存在する。これらの脆弱性は、リモートコード実行（RCE）やサービス拒否（DoS）など、システムの完全な制御を奪われる可能性のある深刻な攻撃経路を開く恐れがある。

この発見は、オープンソースソフトウェア（OSS）の依存関係管理における継続的なリスクを浮き彫りにしている。開発者が広く使用する基盤コンポーネントに深刻な欠陥が放置されたままでは、無数の派生アプリケーションが潜在的な攻撃の標的となる。リポジトリ管理者は、公開された詳細なアーティファクトレポートを確認し、パッケージの緊急アップデートまたは代替手段への移行といった是正措置を講じる必要に迫られている。この事例は、DevSecOps プラクティスの一環としての自動化された脆弱性スキャンの重要性を再認識させるとともに、サプライチェーンセキュリティの課題を改めて提示した。