Fluentdにおける複数の脆弱性

公開日：2026/06/29 最終更新日：2026/06/29

JVN#36011274
Fluentdにおける複数の脆弱性

Fluentd Projectが提供するFluentdには、複数の脆弱性が存在します。

Fluentd v1.19.3より前のバージョン
fluent-plugin-s3 1.8.5より前のバージョン
fluent-plugin-opentelemetry 0.5.3より前のバージョン

なお、Fluentdを同梱する次の製品も本脆弱性の影響を受けます。

fluent-package LTS版 v6.0.3およびそれ以前
fluent-package 通常版 v6.0.0
fluent-package LTS版 v5.0.9およびそれ以前
fluent-package 通常版 v5.2.0およびそれ以前

Fluentd Projectが提供するFluentdには、次の複数の脆弱性が存在します。

${tag} Placeholderにおけるパストラバーサル（CWE-22）

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8
CVE-2026-44024

Monitor Agent APIにおける重要な機能に対する認証の欠如（CWE-306）

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 8.7
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 7.5
CVE-2026-44025

in_httpおよびin_forwardにおける高圧縮データの不適切な処理（CWE-409）

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N 基本値 8.7
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値 7.5
CVE-2026-44160

out_httpにおけるサーバサイドリクエストフォージェリ（CWE-918）

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:N/SA:L 基本値 6.9
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:L 基本値 7.2
CVE-2026-44161

in_s3における高圧縮データの不適切な処理（CWE-409）

CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N 基本値 5.1
CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L 基本値 2.7
CVE-2026-44162

in_opentelemetryにおける高圧縮データの不適切な処理（CWE-409）

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N 基本値 6.9
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値 5.3
CVE-2026-44163

想定される影響は各脆弱性により異なりますが、遠隔の攻撃者によって次のような影響を受ける可能性があります。

管理者権限を有するプロセスで任意のシステム領域のファイルを書き換えられる（CVE-2026-44024）
設定ファイルに含まれる機微な情報をAPI経由で読み取られる（CVE-2026-44025）
細工されたリクエストを送信された場合、サービス運用妨害（DoS）状態を引き起こされる（CVE-2026-44160）
細工されたデータを処理した場合、サービス運用妨害（DoS）状態を引き起こされる（CVE-2026-44162、CVE-2026-44163）
許可されていないサーバにリクエストを転送されたり、サービス運用妨害（DoS）状態を引き起こされたりする（CVE-2026-44161）

アップデートする
開発者が提供する情報をもとに、最新バージョンにアップデートしてください。

ワークアラウンドを実施する
開発者はアップデートを適用するまでの間、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報を確認してください。

ベンダ
ステータス
ステータス最終更新日
ベンダの告知ページ

株式会社クリアコード

該当製品あり

2026/06/29

株式会社クリアコード の告知ページ

ベンダ

リンク

Fluentd Project

Remote Code Execution (RCE) via Arbitrary File Write in `${tag}` Placeholder (CVE-2026-44024)

Exposure of Sensitive Information via Monitor Agent API (CVE-2026-44025)

Denial of Service (DoS) via Gzip Decompression Bomb in `in_http` and `in_forward` (CVE-2026-44160)

Server-Side Request Forgery (SSRF) via Placeholder Expansion in `out_http` (CVE-2026-44161)

Denial of Service (DoS) via Decompression Bomb in `in_s3` (CVE-2026-44162)

Denial of Service (DoS) via Large Payloads and Decompression Bombs in `in_opentelemetry` (CVE-2026-44163)

この脆弱性情報は、製品利用者への周知を目的に、開発者がIPAに報告し、JPCERT/CCが開発者との調整を行いました。

JPCERT 緊急報告

JPCERT REPORT

CERT Advisory

CPNI Advisory

TRnotes

CVE

JVN iPedia

JVNDB-2026-000090

Copyright (c) 2000-2026 JPCERT/CC and IPA. All rights reserved.

出典: jvn@jvn.jp
URL: https://jvn.jp/jp/JVN36011274/