製品・ソフトウェアに関する情報

JVN脆弱性詳細

Prometheusにおける複数の脆弱性

Title	Prometheusにおける複数の脆弱性
Summary	Prometheusはオープンソースの監視システムおよび時系列データベースです。バージョン3.5.3および3.11.3以前では、Azure ADのリモート書き込みOAuth構成（storage/remote/azuread）にあるclient_secretフィールドがSecret型ではなくstring型として扱われていました。Prometheusは構成を/-/config HTTP APIエンドポイント経由で提供する際にSecret型のフィールドをマスキングしますが、このフィールドがプレーンな文字列だったため、Azure OAuthクライアントシークレットがそのエンドポイントにアクセスできるユーザーやプロセスに平文で露出していました。この問題はバージョン3.5.3および3.11.3で修正されています。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 4, 2026, midnight
Registration Date	May 13, 2026, 10:24 a.m.
Last Update	May 13, 2026, 10:24 a.m.

Affected System

Prometheus

Prometheus 2.48.0 以上 3.5.3 未満

Prometheus 3.6.0 以上 3.11.3 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-42151	https://www.cve.org/CVERecord?id=CVE-2026-42151
National Vulnerability Database (NVD)
2	CVE-2026-42151	https://nvd.nist.gov/vuln/detail/CVE-2026-42151

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html
2	CWE-312	https://cwe.mitre.org/data/definitions/312.html

ベンダー情報

No	Name	URL
GitHub
1	Prometheus Azure AD remote write OAuth client secret exposed via config API Advisory prometheus/prometheus GitHub	https://github.com/prometheus/prometheus/security/advisories/GHSA-wg65-39gg-5wfj

その他

No	Name	URL
関連文書
1	Release 3.11.3 / 2026-04-27 prometheus/prometheus GitHub	https://github.com/prometheus/prometheus/releases/tag/v3.11.3
2	Release 3.5.3 / 2026-04-27 prometheus/prometheus GitHub	https://github.com/prometheus/prometheus/releases/tag/v3.5.3
3	remote/azuread: use Secret type for OAuth client_secret by roidelapluie Pull Request #18587 prometheus/prometheus GitHub	https://github.com/prometheus/prometheus/pull/18587
4	remote/azuread: use Secret type for OAuth client_secret by roidelapluie Pull Request #18590 prometheus/prometheus GitHub	https://github.com/prometheus/prometheus/pull/18590

Change Log

No	Changed Details	Date of change
1	[2026年05月13日] 掲載	May 13, 2026, 10:24 a.m.

NVD Vulnerability Information

CVE-2026-42151

Summary	Prometheus is an open-source monitoring system and time series database. Prior to versions 3.5.3 and 3.11.3, the client_secret field in the Azure AD remote write OAuth configuration (storage/remote/azuread) was typed as string instead of Secret. Prometheus redacts fields of type Secret when serving the configuration via the /-/config HTTP API endpoint. Because the field was a plain string, the Azure OAuth client secret was exposed in plaintext to any user or process with access to that endpoint. This issue has been patched in versions 3.5.3 and 3.11.3.
Publication Date	May 5, 2026, 4:16 a.m.
Registration Date	May 6, 2026, 4:06 a.m.
Last Update	May 12, 2026, 2:22 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource
1	https://github.com/prometheus/prometheus/pull/18587	security-advisories@github.com
2	https://github.com/prometheus/prometheus/pull/18590	security-advisories@github.com
3	https://github.com/prometheus/prometheus/releases/tag/v3.11.3	security-advisories@github.com
4	https://github.com/prometheus/prometheus/releases/tag/v3.5.3	security-advisories@github.com
5	https://github.com/prometheus/prometheus/security/advisories/GHSA-wg65-39gg-5wfj	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-200	情報漏えい	https://cwe.mitre.org/data/definitions/200.html
2	CWE-312	重要な情報の平文保存	https://cwe.mitre.org/data/definitions/312.html