製品・ソフトウェアに関する情報

JVN脆弱性詳細

Milvusにおける複数の脆弱性

Title	Milvusにおける複数の脆弱性
Summary	milvus-ioのmilvusバージョン2.6.13までに脆弱性が発見されました。この脆弱性は、コンポーネントGrantee ID Hash Handlerのファイルinternal/metastore/kv/rootcoord/kv_catalog.goに存在する不明なコードに影響を与えます。この問題により弱いハッシュが使用される可能性があります。攻撃はローカル環境で実行する必要があり、その複雑さは高いと評価されています。悪用の難易度も高いとされています。この脆弱性のエクスプロイトコードは公開されており、実際に利用される可能性があります。修正の識別子は3d932f1c3e065351c4440c27abe1e6479752544dです。この問題を解決するためにパッチの適用が推奨されます。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 4, 2026, midnight
Registration Date	June 11, 2026, 4:14 p.m.
Last Update	June 11, 2026, 4:14 p.m.

Affected System

Milvus

Milvus 2.6.13 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-10814	https://www.cve.org/CVERecord?id=CVE-2026-10814
National Vulnerability Database (NVD)
2	CVE-2026-10814	https://nvd.nist.gov/vuln/detail/CVE-2026-10814

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-327	https://cwe.mitre.org/data/definitions/327.html
2	CWE-328	https://cwe.mitre.org/data/definitions/328.html

ベンダー情報

その他

No	Name	URL
関連文書
1	fix: [RBAC] use full-length grantee ID hash (#50060) milvus-io/milvus@3d932f1 GitHub	https://github.com/milvus-io/milvus/commit/3d932f1c3e065351c4440c27abe1e6479752544d
2	fix: [RBAC] use full-length grantee ID hash by shaoting-huang Pull Request #50060 milvus-io/milvus GitHub	https://github.com/milvus-io/milvus/pull/50060
3	GitHub - milvus-io/milvus: Milvus is a high-performance, cloud-native vector database built for scalable vector ANN search GitHub	https://github.com/milvus-io/milvus/
4	[Bug]: RBAC grantee-id uses truncated MD5 (64-bit), enabling privilege-binding collisions and cross-role privilege forgery Issue #49857 milvus-io/milvus	https://github.com/milvus-io/milvus/issues/49857

Change Log

No	Changed Details	Date of change
1	[2026年06月11日] 掲載	June 11, 2026, 4:14 p.m.

NVD Vulnerability Information

CVE-2026-10814

Summary	A vulnerability has been found in milvus-io milvus up to 2.6.13. This vulnerability affects unknown code of the file internal/metastore/kv/rootcoord/kv_catalog.go of the component Grantee ID Hash Handler. The manipulation leads to use of weak hash. The attack needs to be performed locally. The attack's complexity is rated as high. It is stated that the exploitability is difficult. The exploit has been disclosed to the public and may be used. The identifier of the patch is 3d932f1c3e065351c4440c27abe1e6479752544d. Applying a patch is the recommended action to fix this issue.
Publication Date	June 5, 2026, 1:16 a.m.
Registration Date	June 5, 2026, 4:10 a.m.
Last Update	June 11, 2026, 2:32 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:milvus:milvus::::::::			2.6.13

Related information, measures and tools

No	URL	refsource
1	https://github.com/milvus-io/milvus/	cna@vuldb.com
2	https://github.com/milvus-io/milvus/commit/3d932f1c3e065351c4440c27abe1e6479752544d	cna@vuldb.com
3	https://github.com/milvus-io/milvus/issues/49857	cna@vuldb.com
4	https://github.com/milvus-io/milvus/pull/50060	cna@vuldb.com
5	https://vuldb.com/cve/CVE-2026-10814	cna@vuldb.com
6	https://vuldb.com/submit/831645	cna@vuldb.com
7	https://vuldb.com/vuln/368262	cna@vuldb.com
8	https://vuldb.com/vuln/368262/cti	cna@vuldb.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-327	不完全、または危険な暗号アルゴリズムの使用	https://cwe.mitre.org/data/definitions/327.html
2	CWE-328	脆弱なハッシュの使用	https://cwe.mitre.org/data/definitions/328.html