つみかさね

CVE-2026-35194

High(0)

CVE-2026-35194 — Apache Flink SQLインジェクションによるリモートコード実行

公開日: 2026-05-23データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
flink-table-plannerApache< 1.20.4 / < 2.0.2 / < 2.1.2 / < 2.2.1
flink-table-api-javaApache< 1.20.4 / < 2.0.2 / < 2.1.2 / < 2.2.1
flink-table-runtimeApache< 1.20.4 / < 2.0.2 / < 2.1.2 / < 2.2.1

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1Apache Flink のバージョンを確認する
  2. 2使用中のバージョンラインに対応した修正版(1.20.4 / 2.0.2 / 2.1.2 / 2.2.1)へアップデートする
  3. 3外部からの SQL クエリ入力を受け付けている場合は入力バリデーションを強化する

影響対象

Apache Flink 利用者(Table API / SQL 機能使用)

補足

  • -データパイプラインのアップデートは影響確認が必要なため、検証環境での事前テストを推奨
CVEApache FlinkRCESQLインジェクションJavaMaven

概要

Apache Flink のテーブルプランナーにおけるコード生成機能に SQL インジェクション脆弱性が存在します(GHSA: High)。攻撃者が Flink の SQL クエリや Table API を通じて悪意のある入力を送り込むことで、任意のコードをリモートから実行できる可能性があります。

ビッグデータ処理や分析パイプラインで広く使われている Apache Flink への影響は大きく、外部からクエリを受け付けるような構成をとっている環境では特に注意が必要です。

CVSS ベクトル

CVSS スコアは現在 NVD で採点中です(GHSA 深刻度: High)。

影響を受けるソフトウェア

コンポーネント脆弱なバージョン修正バージョン
flink-table-planner_2.12< 1.20.41.20.4
flink-table-planner_2.12< 2.0.22.0.2
flink-table-planner_2.12< 2.1.22.1.2
flink-table-planner_2.12< 2.2.12.2.1
flink-table-api-java< 1.20.4 / < 2.0.2 / < 2.1.2 / < 2.2.1各ブランチの修正版
flink-table-runtime< 1.20.4 / < 2.0.2 / < 2.1.2 / < 2.2.1各ブランチの修正版

修正バージョンと回避策

推奨対応: 使用しているバージョンラインに対応した修正版へアップデートしてください。

  • Flink 1.x 系: 1.20.4 へアップデート
  • Flink 2.0 系: 2.0.2 へアップデート
  • Flink 2.1 系: 2.1.2 へアップデート
  • Flink 2.2 系: 2.2.1 へアップデート

関連リンク

データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-35194
GHSA:https://github.com/advisories/GHSA-2f54-v4hm-fx73
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。