つみかさね

CVE-2026-33150

High(7.8)

CVE-2026-33150 — libfuse io_uring サブシステム use-after-free

公開日: 2026-03-22データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
libfuselibfuse>= 3.18.0, < 3.18.2
CVElibfuseuse-after-freeio_uringコンテナ

概要

libfuse バージョン 3.18.0 から 3.18.2 未満 に おいて、io_uring サブシステム の use-after-free の 脆弱性 が 発見 されました。コンテナ 環境 の cgroup 制限 下 で 特定 の 条件 が 揃う と、FUSE リクエスト の 処理 中 に 解放済み メモリ が 参照 され ます。コンテナ 内 の ローカル 攻撃者 が この 脆弱性 を 悪用 する こと で、コンテナ エスケープ や ホスト 上 で の 権限 昇格 に つながる 可能性 が あります。

CVSSベクトル

項目
CVSSスコア7.8 (High)
CWECWE-416(解放済みメモリの使用)
攻撃元区分ローカル
攻撃条件の複雑さ
必要な権限
ユーザー操作不要

影響を受けるソフトウェア

  • libfuse(バージョン 3.18.0 以上 3.18.2 未満)

修正バージョンと回避策

  • 修正: libfuse 3.18.2 で 修正済み。速やか に アップデート して ください
  • 回避策: アップデート が 困難 な 場合、io_uring を 使用 しない 設定 や、コンテナ 環境 で の FUSE マウント を 制限 する こと を 検討 して ください

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-33150
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。