独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月5日、Obsidian GitHub Copilot Pluginにおける重要情報の平文保存の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。中島琉生氏が報告を行っている。影響を受けるシステムは以下の通り。
Obsidian GitHub Copilot Plugin 1.1.7より前のバージョン
Pierre-Adrien Vasseurが提供するObsidian GitHub Copilot Pluginには、重要情報の平文保存の脆弱性(CVE-2025-58401)が存在し、攻撃者に当該プラグインが利用するGitHub APIトークンを取得され、連携するGitHubアカウントにおいて不正な操作をされる可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
