| Title | SeaweedFSにおけるパストラバーサルの脆弱性 |
|---|---|
| Summary | SeaweedFSは、オブジェクトストレージ(S3)、ファイルシステム、およびIcebergテーブル向けの分散ストレージシステムです。バージョン4.30以前では、S3 APIゲートウェイとIceberg RESTカタログゲートウェイはmux.NewRouter().SkipClean(true)でルーターを構築していました。パスのクリーン処理が無効化されているため、URL内の「..」セグメントがルーティング時にそのまま残ってしまいます。したがって、例えば`GET /bucket-A/../evil-bucket/key`というリクエストは、bucket=bucket-A、object=../evil-bucket/keyとしてマッチングされます。取得したオブジェクトキーはその後、util.JoinPath(S3)やpath.Join(Iceberg)でfilerパスに結合され、サーバー側で「..」が解決されるため、実際の読み書き操作はevil-bucketに対して行われてしまいます。この脆弱性はバージョン4.30で修正されました。 |
| Possible impacts | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 25, 2026, midnight |
| Registration Date | June 30, 2026, 11:18 a.m. |
| Last Update | June 30, 2026, 11:18 a.m. |
| CVSS3.0 : 緊急 | |
| Score | 10 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N |
| SeaweedFS |
| SeaweedFS 4.30 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月30日] 掲載 |
June 30, 2026, 11:18 a.m. |
| Summary | SeaweedFS is a distributed storage system for object storage (S3), file systems, and Iceberg tables. Prior to 4.30, the S3 API gateway and the Iceberg REST catalog gateway construct their routers with mux.NewRouter().SkipClean(true). With path cleaning disabled, a .. segment inside the URL survives routing, so a request such as `GET /bucket-A/../evil-bucket/key`, is matched as bucket=bucket-A, object=../evil-bucket/key. The captured object key is then joined into a filer path with util.JoinPath (S3) / path.Join (Iceberg), which collapse the .. server-side, so the actual read or write lands in evil-bucket. This vulnerability is fixed in 4.30. |
|---|---|
| Publication Date | June 26, 2026, 4:16 a.m. |
| Registration Date | June 27, 2026, 4:30 a.m. |
| Last Update | June 26, 2026, 5:17 a.m. |