製品・ソフトウェアに関する情報

JVN脆弱性詳細

Uutilsのuutils coreutilsにおける指定された機能の不適切な提供に関する脆弱性

Title	Uutilsのuutils coreutilsにおける指定された機能の不適切な提供に関する脆弱性
Summary	uutils coreutils の cut ユーティリティにおける論理エラーにより、-z（ヌル終端）および -d ''（空のデリミタ）オプションを同時に使用した場合に、-s（区切りありのみ）フラグが無視される問題があります。実装がこの特定の組み合わせを改行区切り用の特殊なコード経路に誤って通しており、レコード抑制の状態をチェックしていません。その結果、uutils cut はレコード全体に加えヌルバイトを出力し、抑制せずに出力してしまいます。GNU coreutils の動作と異なるこの挙動は、cut -s による区切りなしデータのフィルタリングに依存する自動パイプラインにおいてデータ整合性のリスクをもたらします。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
Publication Date	April 22, 2026, midnight
Registration Date	April 27, 2026, 11:17 a.m.
Last Update	April 27, 2026, 11:17 a.m.

CVSS3.0 : 低
Score	3.3
Vector	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Affected System

Uutils

uutils coreutils 0.8.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-35381	https://www.cve.org/CVERecord?id=CVE-2026-35381
National Vulnerability Database (NVD)
2	CVE-2026-35381	https://nvd.nist.gov/vuln/detail/CVE-2026-35381

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-684	https://cwe.mitre.org/data/definitions/684.html

その他

No	Name	URL
関連文書
1	cut: honor only-delimited in newline-delimiter mode by can1357 Pull Request #11394 uutils/coreutils GitHub	https://github.com/uutils/coreutils/pull/11394
2	Release 0.8.0 uutils/coreutils GitHub	https://github.com/uutils/coreutils/releases/tag/0.8.0

Change Log

No	Changed Details	Date of change
1	[2026年04月27日] 掲載	April 27, 2026, 11:17 a.m.

NVD Vulnerability Information

CVE-2026-35381

Summary	A logic error in the cut utility of uutils coreutils causes the utility to ignore the -s (only-delimited) flag when using the -z (null-terminated) and -d '' (empty delimiter) options together. The implementation incorrectly routes this specific combination through a specialized newline-delimiter code path that fails to check the record suppression status. Consequently, uutils cut emits the entire record plus a NUL byte instead of suppressing it. This divergence from GNU coreutils behavior creates a data integrity risk for automated pipelines that rely on cut -s to filter out undelimited data.
Publication Date	April 23, 2026, 2:16 a.m.
Registration Date	April 25, 2026, 4:06 a.m.
Last Update	April 25, 2026, 4:19 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:uutils:coreutils::::::rust::*					0.8.0

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/uutils/coreutils/pull/11394	security@ubuntu.com
2	https://github.com/uutils/coreutils/releases/tag/0.8.0	security@ubuntu.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-684	指定された機能の不適切な提供	https://cwe.mitre.org/data/definitions/684.html