| タイトル | SeaweedFSにおけるパストラバーサルの脆弱性 |
|---|---|
| 概要 | SeaweedFSは、オブジェクトストレージ(S3)、ファイルシステム、およびIcebergテーブル向けの分散ストレージシステムです。バージョン4.30以前では、S3 APIゲートウェイとIceberg RESTカタログゲートウェイはmux.NewRouter().SkipClean(true)でルーターを構築していました。パスのクリーン処理が無効化されているため、URL内の「..」セグメントがルーティング時にそのまま残ってしまいます。したがって、例えば`GET /bucket-A/../evil-bucket/key`というリクエストは、bucket=bucket-A、object=../evil-bucket/keyとしてマッチングされます。取得したオブジェクトキーはその後、util.JoinPath(S3)やpath.Join(Iceberg)でfilerパスに結合され、サーバー側で「..」が解決されるため、実際の読み書き操作はevil-bucketに対して行われてしまいます。この脆弱性はバージョン4.30で修正されました。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月25日0:00 |
| 登録日 | 2026年6月30日11:18 |
| 最終更新日 | 2026年6月30日11:18 |
| CVSS3.0 : 緊急 | |
| スコア | 10 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N |
| SeaweedFS |
| SeaweedFS 4.30 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月30日] 掲載 |
2026年6月30日11:18 |
| 概要 | SeaweedFS is a distributed storage system for object storage (S3), file systems, and Iceberg tables. Prior to 4.30, the S3 API gateway and the Iceberg REST catalog gateway construct their routers with mux.NewRouter().SkipClean(true). With path cleaning disabled, a .. segment inside the URL survives routing, so a request such as `GET /bucket-A/../evil-bucket/key`, is matched as bucket=bucket-A, object=../evil-bucket/key. The captured object key is then joined into a filer path with util.JoinPath (S3) / path.Join (Iceberg), which collapse the .. server-side, so the actual read or write lands in evil-bucket. This vulnerability is fixed in 4.30. |
|---|---|
| 公表日 | 2026年6月26日4:16 |
| 登録日 | 2026年6月27日4:30 |
| 最終更新日 | 2026年6月26日5:17 |