製品・ソフトウェアに関する情報

JVN脆弱性詳細

Apache Software FoundationのPolarisにおける複数の脆弱性

Title	Apache Software FoundationのPolarisにおける複数の脆弱性
Summary	Apache Polarisは、有効なテーブルの場所が検証されたり確実に予約されたりする前に、段階的なテーブル作成中に広範な一時的な（「発行された」）ストレージ認証情報を発行することがあります。これらの一時的認証情報は、アクセス可能なテーブルのデータおよびメタデータの範囲を制限することを目的としていますが、この範囲制限は攻撃者によってターゲットの場所を選択されるため、攻撃者に有利に働いてしまいます。確認された変種では、呼び出し元がステージ作成時にカスタムの`location`を指定し、認証情報の発行を要求した場合、Apache Polarisは即座にその場所を使って委任されたストレージ認証情報を構築します。ステージ作成パス自体は、これらの認証情報が発行される前に通常の場所検証や重複チェックを実行しません。これに関連して、ステージ作成フローはリクエストプロパティの`write.data.path`および`write.metadata.path`も受け入れており、これらの場所の上書き設定を認証情報発行に使用される同じ有効なテーブル場所のセットに渡します。これらのフィールドはメインのカスタム`location`攻撃に付随するものですが、それでも攻撃者に影響を受ける場所の入力であり、認証情報が発行される前に検証されるべきです。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 4, 2026, midnight
Registration Date	May 14, 2026, 10:12 a.m.
Last Update	May 14, 2026, 10:12 a.m.

CVSS3.0 : 緊急
Score	9.9
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Affected System

Apache Software Foundation

Polaris 1.4.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-42809	https://www.cve.org/CVERecord?id=CVE-2026-42809
National Vulnerability Database (NVD)
2	CVE-2026-42809	https://nvd.nist.gov/vuln/detail/CVE-2026-42809
Pony Mail
3	CVE-2026-42809: Apache Polaris: An authenticated low-privileged user can abuse Polaris staged table creation to mint broad temporary storage credentials for an attacker-chosen location before Polaris validates that location-Apache Mail Archives	https://lists.apache.org/thread/8tfsr8y7pgq6rdcvjx95hkcr47td671r

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html
2	CWE-862	https://cwe.mitre.org/data/definitions/862.html

ベンダー情報

No	Name	URL
Openwall mailing list archives
1	oss-security - CVE-2026-42809: Apache Polaris: An authenticated low-privileged user can abuse Polaris staged table creation to mint broad temporary storage credentials for an attacker-chosen location before Polaris validates that location	http://www.openwall.com/lists/oss-security/2026/05/02/10

Change Log

No	Changed Details	Date of change
1	[2026年05月14日] 掲載	May 14, 2026, 10:12 a.m.

NVD Vulnerability Information

CVE-2026-42809

Summary	Apache Polaris can issue broad temporary ("vended") storage credentials during staged table creation before the effective table location has been validated or durably reserved. Those temporary credentials are meant to limit the scope of accessible table data and metadata, but this scope limitation becomes attacker- directed because the attacker can choose a reachable target location. In the confirmed variant, if the caller supplies a custom `location` during stage create and requests credential vending, Apache Polaris uses that location to construct delegated storage credentials immediately. The stage-create path itself neither runs the normal location validation nor the overlap checks before those credentials are issued. Closely related to that, the staged-create flow also accepts `write.data.path` / `write.metadata.path` in the request properties and feeds those location overrides into the same effective table location set used for credential vending. Those fields are secondary to the main custom-`location` exploit, but they are still attacker-influenced location inputs that should be validated before any credentials are issued.
Publication Date	May 5, 2026, 2:16 a.m.
Registration Date	May 5, 2026, 4:07 a.m.
Last Update	May 6, 2026, 4:32 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://lists.apache.org/thread/8tfsr8y7pgq6rdcvjx95hkcr47td671r	security@apache.org
2	http://www.openwall.com/lists/oss-security/2026/05/02/10	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html
2	CWE-862	認証の欠如	https://cwe.mitre.org/data/definitions/862.html