つみかさね

CVE-2026-39816

High(8.8)

CVE-2026-39816 — Apache NiFi TinkerpopClientService 権限昇格

公開日: 2026-05-10データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
NiFiApache2.0.0-M1 から 2.8.0

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1Apache NiFi を使用しているか確認
  2. 2Apache NiFi 2.9.0 以降へアップデートを適用
  3. 3TinkerpopClientService の使用状況を確認し、不要であれば無効化

影響対象

Apache NiFi

補足

  • -CVSS 8.8 High — 認証済みユーザーから権限昇格が可能なため早期対応を推奨します
CVEApache NiFi権限昇格CWE-862

概要

Apache NiFi 2.0.0-M1 から 2.8.0 において、オプションの拡張コンポーネント TinkerpopClientService に Execute Code Required Permission を伴う Restricted アノテーションが欠落しています。TinkerpopClientService は Script Submission Type として ByteCode Submission の設定をサポートしており、クエリ送信前に Groovy スクリプトの実行が可能です。この認可チェックの欠如により、本来制限されるべきコード実行が許可され、権限昇格につながる可能性があります。

CVSSベクトル

指標
CVSSスコア8.8
深刻度High
CWECWE-862 (認可の欠如)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル

影響を受けるソフトウェア

製品ベンダー影響バージョン
NiFiApache2.0.0-M1 から 2.8.0

修正バージョンと回避策

  • Apache NiFi 2.9.0 以降にアップデートしてください
  • アップデートが即時適用できない場合、TinkerpopClientService コンポーネントの使用を一時的に無効化してください
  • NiFi のアクセス制御設定を見直し、不要なユーザーからの拡張コンポーネントへのアクセスを制限してください

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

Apache ML:https://lists.apache.org/thread/gh9g7xwvv4l20gzff6q3367snf35ctcb
ZeroPath:https://zeropath.com/blog/nifi-cve-2026-39816-privesc-rce
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-39816
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。