Fluentdにセキュリティ脆弱性、リモートコード実行やSSRF、DoS、認証情報漏えいが可能に

統合ロギング向けの広く利用されているオープンソースデータコレクター「Fluentd」において、複数の重大な脆弱性が報告されました。これらを悪用すると、攻撃者はリモートコード実行(RCE)、サーバーサイドリクエストフォージェリ(SSRF)、サービス拒否(DoS)、さらには機密の認証情報の漏えいを引き起こす可能性があります。

これらの問題は複数のGitHubセキュリティアドバイザリで報告されており、Fluentdバージョン1.19.2以下に影響し、バージョン1.19.3で修正済みです。

Securityawareness training

Fluentdはクラウドネイティブ環境やロギングパイプライン、Kubernetesエコシステムで広く採用されているため、これらの脆弱性は特に信頼できないネットワークにインスタンスが公開されている場合、大きなリスクをもたらします。

Fluentdのセキュリティ脆弱性

最も深刻な脆弱性であるCVE-2026-44024は、動的ファイルパス構築で使用される${tag}プレースホルダーの検証が行われていないことが原因で、RCEを引き起こします。

攻撃者はログタグに../などのパストラバーサル文字列を注入し、任意のファイル書き込みや上書きを行うことができます。設定が緩い場合と組み合わさると、機密ファイルの改変や悪意あるプラグインの注入、Fluentd設定の改ざんによってシステム全体が侵害される恐れがあります。

この脆弱性が特に危険なのは、認証を一切必要とせず、ログ入力エンドポイントが外部公開されていればリモートから悪用できる点です。

もう一つの深刻な問題であるCVE-2026-44025は、内部プラグインの状態をREST API経由で公開するMonitor Agentプラグイン(in_monitor_agent)に影響します。このAPIは意図せずに、プラグインのインスタンス変数に保存されたAPIキーやデータベース認証情報、クラウドトークンなどの機密データを漏えいさせてしまいます。

監視エンドポイント(デフォルトポート24220)が外部からアクセス可能な状態にある場合、攻撃者は認証なしで平文の機密情報を取得できてしまい、横方向移動やデータ侵害のリスクが大幅に高まります。

FluentdはさらにCVE-2026-44160によるサービス拒否攻撃にも脆弱です。これはin_httpおよびin_forwardプラグインにおけるgzip展開処理の欠陥を突くものです。

特別に細工した圧縮ペイロードを送信することで、攻撃者は展開処理時に過剰なメモリ割り当てを発生させ、プロセスのクラッシュやメモリ不足(OOM)による強制終了を引き起こすことができます。これにより、ログ取り込みパイプラインが停止し、影響を受けるインフラ全体の可観測性が損なわれる可能性があります。

また、CVE-2026-44161はout_httpプラグインにおけるSSRF脆弱性を示すもので、プレースホルダー展開機能を悪用することで攻撃者が送信リクエストの宛先を操作できてしまいます。

これにより内部サービスやクラウドのメタデータエンドポイントへの到達が可能になり、機密情報の漏えいや内部ネットワークにおけるさらなる侵害を招く恐れがあります。

以前に開示されたCVE-2022-39379も、一部の環境では依然として関連性があります。これは、非デフォルト設定であるFLUENT_OJ_OPTION_MODE=objectが有効な場合に、安全でないデシリアライズによってRCEが発生する問題で、細工されたJSONペイロードによって任意のコードが実行されてしまいます。

CVEハイライト

  • CVE-2026-44024 – ${tag}プレースホルダーにおけるパストラバーサルを介した重大なRCE、任意のファイル書き込みが可能(CVSS 10.0)
  • CVE-2026-44025 – 認証なしでMonitor Agent APIを介して機密の認証情報が漏えい(CVSS 7.5+)
  • CVE-2026-44160 – gzip展開爆弾によるメモリ枯渇でDoSが発生(CVSS 7.5+)
  • CVE-2026-44161 – out_httpプラグインにおける動的エンドポイント操作によるSSRF(CVSS 6.5+)
  • CVE-2022-39379 – 非デフォルト設定における安全でないデシリアライズによるRCE

セキュリティ専門家は、Fluentdバージョン1.19.3への直ちのアップグレードを強く推奨しています。また、組織はFluentdポートのネットワーク公開を制限し、プレースホルダーに信頼できない入力を使用しないようにし、厳格な入力検証を実施するとともに、悪用の影響を最小限に抑えるためサービスを必要最小限の権限で稼働させるべきです。

翻訳元: https://gbhackers.com/fluentd-security-flaws/

ソース: gbhackers.com