GitHub の匿名アカウント「bikini」が、22 プロジェクトにまたがる 130 件超の未パッチ 0-day PoC を一切のベンダー通報なしで一括公開した「exploitarium」リポジトリが、6月28日時点で Hacker News 上位 (#5、726 ポイント) に到達したと byteiota が報じました。リポジトリ自体は「自分が投稿した時点ではどれも未報告。報告して CVE のクレジットを取りたければご自由に」と挑発的に説明されています。
主なポイント
- リポジトリには 130 を超える PoC コードと脆弱性研究ノートが収録され、22 のソフトウェアプロジェクトを対象。ベンダーへの事前通告はゼロ
- 特に致命的とされるのが 2 件: libssh2 の CVE-2026-55200 (CVSS 9.2、認証前 RCE) と Gitea の CVE-2026-20896 (X-WEBAUTH-USER ヘッダで任意ユーザーになりすませる認証バイパス)
- libssh2 側は
ssh2_transport_read()で SSH パケットのpacket_lengthが上限チェックされず、整数オーバーフロー経由で認証前にヒープ書き込みが起きる - Gitea 側は公式 Docker イメージが
REVERSE_PROXY_TRUSTED_PROXIES = *をデフォルトに含み、任意の送信元 IP が単一の HTTP ヘッダで管理権限を取得可能 - Hacker News のコメント欄では「LLM が生成した低品質な PoC が大量に混ざっている」との指摘も。検証作業はコミュニティ任せの状態
- 過去には「Chaotic Eclipse」名義の研究者が事前通告なく Windows 0-day を 6 件公開し、うち 3 件が実環境で悪用された経緯あり。GitHub は当時、当該アカウントを停止している
出典: Exploitarium: 130 0-Days Dropped—Two Are Critical Now - byteiota