製品・ソフトウェアに関する情報

Vulnerability Search

ベンダー検索

Product/Service Search

JVN Vulnerability Search Top

->

JVN脆弱性詳細

Fluentdにおける複数の脆弱性

Title	Fluentdにおける複数の脆弱性
Summary	Fluentd Projectが提供するFluentdには、次の複数の脆弱性が存在します。 <ul> <li>${tag} Placeholderにおけるパストラバーサル（CWE-22）- CVE-2026-44024</li><li>Monitor Agent APIにおける重要な機能に対する認証の欠如（CWE-306）- CVE-2026-44025</li><li>in_httpおよびin_forwardにおける高圧縮データの不適切な処理（CWE-409）- CVE-2026-44160</li><li>out_httpにおけるサーバサイドリクエストフォージェリ（CWE-918）- CVE-2026-44161</li><li>in_s3における高圧縮データの不適切な処理（CWE-409）- CVE-2026-44162</li><li>in_opentelemetryにおける高圧縮データの不適切な処理（CWE-409）- CVE-2026-44163</li> </ul>この脆弱性情報は、製品利用者への周知を目的に、開発者がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
Possible impacts	想定される影響は各脆弱性により異なりますが、遠隔の攻撃者によって次のような影響を受ける可能性があります。 <ul><li>管理者権限を有するプロセスで任意のシステム領域のファイルを書き換えられる（CVE-2026-44024）</li><li>設定ファイルに含まれる機微な情報をAPI経由で読み取られる（CVE-2026-44025）</li><li>細工されたリクエストを送信された場合、サービス運用妨害（DoS）状態を引き起こされる（CVE-2026-44160）</li><li>細工されたデータを処理した場合、サービス運用妨害（DoS）状態を引き起こされる（CVE-2026-44162、CVE-2026-44163）</li><li>許可されていないサーバにリクエストを転送されたり、サービス運用妨害（DoS）状態を引き起こされたりする（CVE-2026-44161）</li></ul>
Solution	[アップデートする] 開発者が提供する情報をもとに、最新バージョンにアップデートしてください。 [ワークアラウンドを実施する] 開発者はアップデートを適用するまでの間、ワークアラウンドの適用を推奨しています。詳細は、開発者が提供する情報を確認してください。
Publication Date	June 29, 2026, midnight
Registration Date	June 29, 2026, 12:58 p.m.
Last Update	June 29, 2026, 12:58 p.m.

CVSS3.0 : 緊急
Score	9.8
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Affected System

Fluentd Project

fluent-plugin-opentelemetry 0.5.3より前のバージョン

fluent-plugin-s3 1.8.5より前のバージョン

Fluentd v1.19.3より前のバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44024	https://www.cve.org/CVERecord?id=CVE-2026-44024
2	CVE-2026-44025	https://www.cve.org/CVERecord?id=CVE-2026-44025
3	CVE-2026-44160	https://www.cve.org/CVERecord?id=CVE-2026-44160
4	CVE-2026-44161	https://www.cve.org/CVERecord?id=CVE-2026-44161
5	CVE-2026-44162	https://www.cve.org/CVERecord?id=CVE-2026-44162
6	CVE-2026-44163	https://www.cve.org/CVERecord?id=CVE-2026-44163

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html
2	CWE-Other	https://www.ipa.go.jp/security/vuln/scap/cwe.html

ベンダー情報

No	Name	URL
Fluentd Project
1	Denial of Service (DoS) via Decompression Bomb in `in_s3` (CVE-2026-44162)	https://github.com/fluent/fluent-plugin-s3/security/advisories/GHSA-xv9w-7v6q-hpjh
2	Denial of Service (DoS) via Gzip Decompression Bomb in `in_http` and `in_forward` (CVE-2026-44160)	https://github.com/fluent/fluentd/security/advisories/GHSA-j9cw-hwqf-85w7
3	Denial of Service (DoS) via Large Payloads and Decompression Bombs in `in_opentelemetry` (CVE-2026-44163)	https://github.com/fluent-plugins-nursery/fluent-plugin-opentelemetry/security/advisories/GHSA-2jc5-xhx8-qj6h
4	Exposure of Sensitive Information via Monitor Agent API (CVE-2026-44025)	https://github.com/fluent/fluentd/security/advisories/GHSA-pr7j-96cj-549h
5	Remote Code Execution (RCE) via Arbitrary File Write in `${tag}` Placeholder (CVE-2026-44024)	https://github.com/fluent/fluentd/security/advisories/GHSA-44hj-4m45-frj3
6	Server-Side Request Forgery (SSRF) via Placeholder Expansion in `out_http` (CVE-2026-44161)	https://github.com/fluent/fluentd/security/advisories/GHSA-72f5-rr8c-r6gr
JVN
7	株式会社クリアコードからの情報	https://jvn.jp/jp/JVN36011274/997309/index.html
株式会社クリアコード
8	LTS版 Fluent Package v6.0.4をリリース	https://www.clear-code.com/blog/2026/6/26/fluent-package-v6.0.4.html

その他

No	Name	URL
JVN
1	JVN#36011274	https://jvn.jp/jp/JVN36011274/index.html

Change Log

No	Changed Details	Date of change
1	[2026年06月29日] 掲載	June 23, 2026, 6:23 p.m.