つみかさね

CVE-2026-44170

Critical(9.8)

MariaDB WindowsのCONNECTエンジンOSコマンドインジェクション CVE-2026-44170:影響範囲と対応方法

公開日: 2026-07-03データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
MariaDB(Windows版)+ CONNECTエンジンMariaDB Corporation10.6.1〜10.6.25、10.11.1〜10.11.16、11.4.1〜11.4.10、11.8.1〜11.8.6、12.3.1

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1MariaDBがWindows上で動作しているか確認する
  2. 2CONNECTエンジンが有効か確認する(SHOW ENGINES;)
  3. 3MariaDBを修正バージョン(10.6.26/10.11.17/11.4.11/11.8.7/12.3.2)へアップグレードする
  4. 4アップグレードまでの間、CONNECTエンジンのREST機能を無効にする

影響対象

Windows版MariaDB + CONNECTエンジン + REST有効の環境

補足

  • -Linux版MariaDBはこのCVEの影響を受けません
  • -CONNECTエンジンをインストールしていてもREST機能を使用していない場合はリスクが低減されます
CVEMariaDBOSコマンドインジェクションWindowsCONNECTエンジン

30秒で判断

対応すべき人:

  • Windows上でMariaDBを実行している
  • MariaDB CONNECTエンジンをインストールしている
  • CONNECTエンジンのREST機能を有効にしている

対応不要な人:

  • Linux/macOS版MariaDB利用者(Windows固有の問題)
  • MariaDB 10.6.26、10.11.17、11.4.11、11.8.7、12.3.2 以降を使用中
  • MariaDB を使用していない
  • CONNECTエンジンを使用していない、またはREST機能を無効にしている

確認コマンド(Windows):

-- MariaDBバージョン確認
SELECT VERSION();
-- CONNECTエンジンが有効か確認
SHOW ENGINES;

概要

Windows版MariaDBのCONNECTエンジンがREST機能(HTTP経由でのデータ取得)を処理する際、テーブルのHTTP属性値をcurlコマンドライン引数として展開する処理に不適切なサニタイズが存在します。

この問題により、MariaDBユーザーが悪意あるHTTP属性値を持つCONNECTテーブルを作成または変更できる場合、MariaDBサーバーを実行しているWindowsユーザー権限でOSコマンドが実行されます。

Linux版MariaDBは影響を受けません。 これはWindows版固有の実装における問題です。

MariaDB Windows環境でCONNECTエンジンを使用している場合は、修正版への更新を強く推奨します。


CVSSベクトル

項目
CVSSスコア9.8(Critical)
CWECWE-78(OSコマンドインジェクション)
攻撃元区分 (AV)ネットワーク (N)
攻撃条件の複雑さ (AC)低 (L)
必要な特権 (PR)なし (N)
ユーザーの関与 (UI)不要 (N)

影響を受けるソフトウェア

製品影響バージョン
MariaDB(Windows版)+ CONNECTエンジン + REST有効10.6.1〜10.6.25
MariaDB(Windows版)+ CONNECTエンジン + REST有効10.11.1〜10.11.16
MariaDB(Windows版)+ CONNECTエンジン + REST有効11.4.1〜11.4.10
MariaDB(Windows版)+ CONNECTエンジン + REST有効11.8.1〜11.8.6
MariaDB(Windows版)+ CONNECTエンジン + REST有効12.3.1

修正バージョン

系列修正バージョン
10.6.x10.6.26
10.11.x10.11.17
11.4.x11.4.11
11.8.x11.8.7
12.3.x12.3.2

回避策:

  • CONNECTエンジンのREST機能を無効にする
  • CONNECTエンジン自体を使用しないようにする

関連リンク


データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。