独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月29日、Fluentdにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
Fluentd v1.19.3より前のバージョン
fluent-plugin-s3 1.8.5より前のバージョン
fluent-plugin-opentelemetry 0.5.3より前のバージョン
※Fluentdを同梱する下記の製品も本脆弱性の影響を受ける。
fluent-package LTS版 v6.0.3およびそれ以前
fluent-package 通常版 v6.0.0
fluent-package LTS版 v5.0.9およびそれ以前
fluent-package 通常版 v5.2.0およびそれ以前
Fluentd Projectが提供するFluentdには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・${tag} Placeholderにおけるパストラバーサル(CVE-2026-44024)
→管理者権限を有するプロセスで任意のシステム領域のファイルを書き換えられる
・Monitor Agent APIにおける重要な機能に対する認証の欠如(CVE-2026-44025)
→設定ファイルに含まれる機微な情報をAPI経由で読み取られる
・in_httpおよびin_forwardにおける高圧縮データの不適切な処理(CVE-2026-44160)
→細工されたリクエストを送信された場合、サービス運用妨害(DoS)状態を引き起こされる
・out_httpにおけるサーバサイドリクエストフォージェリ(CVE-2026-44161)
→許可されていないサーバにリクエストを転送されたり、サービス運用妨害(DoS)状態を引き起こされたりする
・in_s3における高圧縮データの不適切な処理(CVE-2026-44162)
→細工されたデータを処理した場合、サービス運用妨害(DoS)状態を引き起こされる
・in_opentelemetryにおける高圧縮データの不適切な処理(CVE-2026-44163)
→細工されたデータを処理した場合、サービス運用妨害(DoS)状態を引き起こされる
JVNでは、開発者が提供する情報をもとに最新バージョンにアップデートするよう呼びかけている。なお開発者は、アップデートを適用するまでの間、ワークアラウンドの適用を推奨している。
