| Title | MariaDB Corporation Ab.のMariaDBにおけるOS コマンドインジェクションの脆弱性 |
|---|---|
| Summary | MariaDBサーバーはMySQLサーバーのコミュニティによって開発されたフォークです。バージョン10.6.1から10.6.26、10.11.1から10.11.17、11.4.1から11.4.11、11.8.1から11.8.7、および12.3.1において、`wsrep_notify_cmd`が有効になっている場合、参加ノードの名前に埋め込まれたシェルコマンドが実行される可能性があります。この問題は10.6.27、10.11.18、11.4.12、11.8.8、および12.3.2で修正されています。アップグレードができない場合は、`wsrep_notify_cmd`を無効にすることを推奨します。 |
| Possible impacts | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 11, 2026, midnight |
| Registration Date | June 22, 2026, 11:49 a.m. |
| Last Update | June 22, 2026, 11:49 a.m. |
| CVSS3.0 : 緊急 | |
| Score | 9.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| MariaDB Corporation Ab. |
| MariaDB 10.11.1 以上 10.11.18 未満 |
| MariaDB 10.6.1 以上 10.6.27 未満 |
| MariaDB 11.4.1 以上 11.4.12 未満 |
| MariaDB 11.8.1 以上 11.8.8 未満 |
| MariaDB 12.3.1 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月22日] 掲載 |
June 22, 2026, 11:49 a.m. |
| Summary | MariaDB server is a community developed fork of MySQL server. Versions 10.6.1 through 10.6.26, 10.11.1 through 10.11.17, 11.4.1 through 11.4.11, 11.8.1 through 11.8.7, and 12.3.1 with `wsrep_notify_cmd` enabled would execute shell commands embedded in the name of the joiner node. This is fixed in 10.6.27, 10.11.18, 11.4.12, 11.8.8, and 12.3.2. As a workaround, anyone who cannot upgrade now should disable `wsrep_notify_cmd`. |
|---|---|
| Publication Date | June 12, 2026, 3:16 a.m. |
| Registration Date | June 12, 2026, 4:19 a.m. |
| Last Update | June 12, 2026, 3:16 a.m. |