製品・ソフトウェアに関する情報

JVN脆弱性詳細

Envoy ProxyのEnvoyにおけるNULL バイトまたは NULL キャラクタの無害化に関する脆弱性

タイトル	Envoy ProxyのEnvoyにおけるNULL バイトまたは NULL キャラクタの無害化に関する脆弱性
概要	Envoyはクラウドネイティブアプリケーション向けに設計されたオープンソースのエッジおよびサービスプロキシです。1.35.11、1.36.7、1.37.3、および1.38.1より前のバージョンでは、DefaultCertValidator::verifySubjectAltNameに構造的な欠陥がありました。ここでは抽出されたDNS SAN文字列が.Utility::dnsNameMatch()アルゴリズムに渡される前に.c_str()を使用してCスタイル文字列にキャストされます。攻撃者が埋め込みNULバイトを含むdNSName SANを持つ証明書を提供した場合、ヘルパーUtility::generalNameAsStringはNULを含む完全な文字列を取得します。しかし、.c_str()が評価される際、dnsNameMatch内でのabsl::string_viewへの暗黙の変換はstrlen()に依存しており、評価コンテキストが早期に切り詰められます。Envoyは切り詰められた文字列を厳密なconfig_sanマッチと照合し、trueを返すため、NULバイトを含む文字列の検証に成功して上流ルーティングに使用されてしまいます。この脆弱性は1.35.11、1.36.7、1.37.3、および1.38.1で修正されています。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月26日0:00
登録日	2026年6月30日11:20
最終更新日	2026年6月30日11:20

CVSS3.0 : 警告
スコア	4.4
ベクター	CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N

影響を受けるシステム

Envoy Proxy

Envoy 1.35.13 未満

Envoy 1.36.0 以上 1.36.9 未満

Envoy 1.37.0 以上 1.37.5 未満

Envoy 1.38.0 以上 1.38.3 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-47778	https://www.cve.org/CVERecord?id=CVE-2026-47778
National Vulnerability Database (NVD)
2	CVE-2026-47778	https://nvd.nist.gov/vuln/detail/CVE-2026-47778

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-158	https://cwe.mitre.org/data/definitions/158.html

ベンダー情報

No	名前	URL
GitHub
1	Embedded NUL in TLS DNS SAN Truncation in the Default TLS Certificate Validator. (Auth Bypass) Advisory envoyproxy/envoy GitHub	https://github.com/envoyproxy/envoy/security/advisories/GHSA-f8x4-rw5x-f3r7

変更履歴

No	変更内容	変更日
1	[2026年06月30日] 掲載	2026年6月30日11:20

NVD脆弱性情報

CVE-2026-47778

概要	Envoy is an open source edge and service proxy designed for cloud-native applications. Prior to 1.35.11, 1.36.7, 1.37.3, and 1.38.1, a structural flaw was identified in DefaultCertValidator::verifySubjectAltName where the extracted DNS SAN string is cast to a C-style string using .c_str() before being passed to the Utility::dnsNameMatch() algorithm. If the attacker serves a certificate with a dNSName SAN containing an embedded NUL byte, the helper Utility::generalNameAsString captures the complete string including the NUL. However, when .c_str() evaluates it, implicit conversion to absl::string_view inside dnsNameMatch relies on strlen(), prematurely truncating the evaluation context. Envoy evaluates trucated string against the exact required config_san match and returns true, thereby successfully validating the string with the Nul byte for an upstream routing. This vulnerability is fixed in 1.35.11, 1.36.7, 1.37.3, and 1.38.1.
公表日	2026年6月27日3:16
登録日	2026年6月27日4:35
最終更新日	2026年6月30日3:49

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:envoyproxy:envoy::::::::				1.35.13
cpe:2.3:a:envoyproxy:envoy::::::::	1.36.0			1.36.9
cpe:2.3:a:envoyproxy:envoy::::::::	1.37.0			1.37.5
cpe:2.3:a:envoyproxy:envoy::::::::	1.38.0			1.38.3

No	URL	refsource	タグ
1	https://github.com/envoyproxy/envoy/security/advisories/GHSA-f8x4-rw5x-f3r7	security-advisories@github.com
2	https://github.com/envoyproxy/envoy/security/advisories/GHSA-f8x4-rw5x-f3r7	134c704f-9b21-4f2e-91b3-4a467353bcc0