つみかさね

CVE-2026-44163

Critical(9.8)

Fluentdの複数の脆弱性 CVE-2026-44163ほか:影響範囲と対応方法

公開日: 2026-06-30データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
FluentdFluentd Project詳細はJVN参照

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Fluentdのバージョンを確認する(fluentd --version)
  2. 2JVN(JVNDB-2026-000090)で修正バージョンを確認し、最新版へアップデートする
  3. 3Monitor Agent API を使用しない場合は設定から無効化する
  4. 4Monitor Agent のポートがファイアウォールで外部から遮断されているか確認する
  5. 5out_http プラグインの転送先URLに外部入力が混入しない設定か見直す

影響対象

Fluentd 利用者ログ収集基盤管理者

補足

  • -展開爆弾(DecompBomb)系のDoSは、入力データの圧縮サイズ制限で緩和できる場合がある
  • -JVN情報で公開された修正バージョンを参照すること
CVEFluentdSSRFパストラバーサルDoSJVNログ収集

30秒で判断

対応すべき人:

  • Fluentd を運用している(特にパブリックネットワークからアクセス可能な環境)
  • Fluentd の Monitor Agent API を有効化している
  • out_http プラグインを使用している
  • in_httpin_forwardin_s3in_opentelemetry プラグインを使用している

対応不要な人:

  • Fluentd を使用していない(Logstash、Vector等のみ使用)
  • 修正済みバージョンにアップデート済み(公式サイトで確認)

確認コマンド:

# Fluentdのバージョン確認
fluentd --version
# または Dockerの場合
docker exec <fluentd-container> fluentd --version

# Monitor Agent APIが有効か確認(設定ファイル確認)
grep -r "monitor_agent" /etc/fluent/ 2>/dev/null

概要

Fluentd(td-agent)は広く利用されているオープンソースのデータコレクターです。2026年6月29日、IPA/JPCERT/CC(JVN iPedia JVNDB-2026-000090)を通じて、Fluentdに以下の6件の脆弱性がまとめて公開されました。

CVE-2026-44024 — $ プレースホルダーにおけるパストラバーサル (CWE-22)

${tag} プレースホルダーの処理にパストラバーサルが存在します。ログタグに ../ 等のシーケンスを含む入力が来た場合、意図しないパスへのアクセスにつながる可能性があります。

CVE-2026-44025 — Monitor Agent API における認証の欠如 (CWE-306)

Fluentd の Monitor Agent API(in_monitor_agent)が認証なしでアクセス可能です。Monitor Agent API を外部から到達可能なポートで有効化している場合、ログ設定情報やバッファ状態等の内部情報が未認証で取得できます。

CVE-2026-44160 — in_http・in_forward における高圧縮データの不適切な処理 (CWE-409)

HTTPインプット・TCP/UDPフォワードで、高い圧縮率を持つデータ(展開爆弾)を受信した場合に大量メモリを消費し、サービス拒否(DoS)状態に陥る可能性があります。

CVE-2026-44161 — out_http における SSRF (CWE-918)

out_http プラグインがログデータ中の値を転送先URLに含める場合、攻撃者がログを通じて内部ネットワークへのリクエストを誘発できる可能性があります。

CVE-2026-44162 — in_s3 における高圧縮データの不適切な処理 (CWE-409)

S3インプットプラグインで同様の展開爆弾によるDoSが発生する可能性があります。

CVE-2026-44163 — in_opentelemetry における高圧縮データの不適切な処理 (CWE-409)

OpenTelemetryインプットプラグインで同様の展開爆弾によるDoSが発生する可能性があります。

CVSSベクトル

指標
CVSSスコア9.8(CVE-2026-44163)
深刻度Critical
CWECWE-22, CWE-306, CWE-409, CWE-918(脆弱性ごとに異なる)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要(CVE-2026-44025等)

影響を受けるソフトウェア

製品ベンダー影響バージョン
FluentdFluentd Project詳細はJVN参照

修正バージョンと回避策

  • 修正バージョン: Fluentd Project の公式アナウンスおよび JVNDB-2026-000090 を参照し、最新版にアップデートしてください
  • 緊急回避策:
    • Monitor Agent API(in_monitor_agent)を使用しない場合は無効化する
    • Monitor Agent のポートをファイアウォールで外部から遮断する
    • out_http の転送先URLに外部入力が混入しないよう設定を見直す
    • in_httpin_s3in_opentelemetry に対して入力サイズ制限を設定する

関連リンク

データソース: NVD (NIST), JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-44024Fluentd ${tag}プレースホルダーのパストラバーサルCVSS 9.8CVE-2026-44025Fluentd Monitor Agent API 認証欠如CVSS 9.8CVE-2026-44160Fluentd in_http/in_forward 展開爆弾DoSCVSS 9.8CVE-2026-44161Fluentd out_http SSRFCVSS 9.8CVE-2026-44162Fluentd in_s3 展開爆弾DoSCVSS 9.8

参考リンク

JVN iPedia:https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-000090.html
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-44163
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。