Fluentdに複数の脆弱性 | ScanNetSecurity
2026.07.01(水)

Fluentdに複数の脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月29日、Fluentdにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月29日、Fluentdにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

Fluentd v1.19.3より前のバージョン
fluent-plugin-s3 1.8.5より前のバージョン
fluent-plugin-opentelemetry 0.5.3より前のバージョン

※Fluentdを同梱する下記の製品も本脆弱性の影響を受ける。
fluent-package LTS版 v6.0.3およびそれ以前
fluent-package 通常版 v6.0.0
fluent-package LTS版 v5.0.9およびそれ以前
fluent-package 通常版 v5.2.0およびそれ以前

 Fluentd Projectが提供するFluentdには、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・${tag} Placeholderにおけるパストラバーサル(CVE-2026-44024)
→管理者権限を有するプロセスで任意のシステム領域のファイルを書き換えられる

・Monitor Agent APIにおける重要な機能に対する認証の欠如(CVE-2026-44025)
→設定ファイルに含まれる機微な情報をAPI経由で読み取られる

・in_httpおよびin_forwardにおける高圧縮データの不適切な処理(CVE-2026-44160)
→細工されたリクエストを送信された場合、サービス運用妨害(DoS)状態を引き起こされる

・out_httpにおけるサーバサイドリクエストフォージェリ(CVE-2026-44161)
→許可されていないサーバにリクエストを転送されたり、サービス運用妨害(DoS)状態を引き起こされたりする

・in_s3における高圧縮データの不適切な処理(CVE-2026-44162)
→細工されたデータを処理した場合、サービス運用妨害(DoS)状態を引き起こされる

・in_opentelemetryにおける高圧縮データの不適切な処理(CVE-2026-44163)
→細工されたデータを処理した場合、サービス運用妨害(DoS)状態を引き起こされる

 JVNでは、開発者が提供する情報をもとに最新バージョンにアップデートするよう呼びかけている。なお開発者は、アップデートを適用するまでの間、ワークアラウンドの適用を推奨している。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. アフラック生命保険に不正アクセス、約438万人の顧客情報が漏えい

    アフラック生命保険に不正アクセス、約438万人の顧客情報が漏えい

  2. 廃棄したPC端末が一部データが残存する状態で流通、第三者が取得し発覚

    廃棄したPC端末が一部データが残存する状態で流通、第三者が取得し発覚

  3. 不正アクセス障害対応費3,034万円に対し保険金3,540万円を受給 特別利益計上

    不正アクセス障害対応費3,034万円に対し保険金3,540万円を受給 特別利益計上

  4. 2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

    2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

  5. アクサ生命の元営業社員(故人)が金銭詐取の可能性、偽造保険証券を顧客に手渡す

    アクサ生命の元営業社員(故人)が金銭詐取の可能性、偽造保険証券を顧客に手渡す

ランキングをもっと見る
PageTop