匿名GitHubアカウントが未公開の0-dayを大量公開
原題: Anonymous GitHub account mass-dropping undisclosed 0-days
なぜ重要か
未報告の0-day脆弱性の公開は、セキュリティ業界の責任あるディスクロージャー原則に対する挑戦となり、悪意ある利用のリスクと防御側への時間的余裕の喪失につながる懸念がある。
GitHub上の匿名アカウント「bikini」が、複数の未報告ゼロデイ脆弱性の概念実証(PoC)コードをリポジトリ「exploitarium」で公開している。7zip、AnyDesk、Docker、FFmpeg、Firefoxなど30以上のソフトウェアの脆弱性が含まれており、投稿者は報告時にCVE取得を奨励している。
GitHub上の匿名アカウント「bikini」が運営するリポジトリ「exploitarium」では、複数の未報告ゼロデイ脆弱性に関する公開PoC(Proof of Concept)と脆弱性調査レポートが集約されている。リポジトリ説明によると、投稿時点でこれらの脆弱性は報告されておらず、ユーザーが自ら報告してCVE番号の取得にあたることを推奨している。
公開されている脆弱性には、7zip-rar5(Mark of the Web チェーンPoC)、AnyDesk プリンター認証偽装、c-ares TCP使用後解放、Docker cp コピーアウト脱出、FFmpeg RASC/DLTA、Firefox SmartWindow プライベートURL流出、Flowise MCP環境変数バイパス、Ghidra 12.1.2 RCE/ACE、Gitea Act Runner コンテナオプション、ImageMagick Ghostscript委譲ハイジャック、libssh2 CVE-2026-55200など、複数の重大度の高い脆弱性が含まれている。
リポジトリは786のスター数を獲得し、178がフォークされている。投稿者は「悪用しないでほしい」と述べ、「セキュリティ分野への人材吸引が目的であり、これが最も効果的な方法だと考えている」とコメントしている。このような公開は、セキュリティコミュニティでの議論と、責任あるディスクロージャー慣行への疑問を提起している。