JVN#36011274
Fluentdにおける複数の脆弱性

Fluentd Projectが提供するFluentdには、複数の脆弱性が存在します。

• Fluentd v1.19.3より前のバージョン
• fluent-plugin-s3 1.8.5より前のバージョン
• fluent-plugin-opentelemetry 0.5.3より前のバージョン

• fluent-package LTS版 v6.0.3およびそれ以前
• fluent-package 通常版 v6.0.0
• fluent-package LTS版 v5.0.9およびそれ以前
• fluent-package 通常版 v5.2.0およびそれ以前

Fluentd Projectが提供するFluentdには、次の複数の脆弱性が存在します。

• ${tag} Placeholderにおけるパストラバーサル（CWE-22）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8
  • CVE-2026-44024
• Monitor Agent APIにおける重要な機能に対する認証の欠如（CWE-306）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 8.7
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 7.5
  • CVE-2026-44025
• in_httpおよびin_forwardにおける高圧縮データの不適切な処理（CWE-409）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N 基本値 8.7
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値 7.5
  • CVE-2026-44160
• out_httpにおけるサーバサイドリクエストフォージェリ（CWE-918）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:N/SA:L 基本値 6.9
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:L 基本値 7.2
  • CVE-2026-44161
• in_s3における高圧縮データの不適切な処理（CWE-409）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N 基本値 5.1
  • CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L 基本値 2.7
  • CVE-2026-44162
• in_opentelemetryにおける高圧縮データの不適切な処理（CWE-409）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N 基本値 6.9
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値 5.3
  • CVE-2026-44163

想定される影響は各脆弱性により異なりますが、遠隔の攻撃者によって次のような影響を受ける可能性があります。

• 管理者権限を有するプロセスで任意のシステム領域のファイルを書き換えられる（CVE-2026-44024）
• 設定ファイルに含まれる機微な情報をAPI経由で読み取られる（CVE-2026-44025）
• 細工されたリクエストを送信された場合、サービス運用妨害（DoS）状態を引き起こされる（CVE-2026-44160）
• 細工されたデータを処理した場合、サービス運用妨害（DoS）状態を引き起こされる（CVE-2026-44162、CVE-2026-44163）
• 許可されていないサーバにリクエストを転送されたり、サービス運用妨害（DoS）状態を引き起こされたりする（CVE-2026-44161）

アップデートする
開発者が提供する情報をもとに、最新バージョンにアップデートしてください。

ワークアラウンドを実施する
開発者はアップデートを適用するまでの間、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報を確認してください。