JVNDB-2026-004761

Linux FoundationのSpinnakerにおける複数の脆弱性

Spinnakerはオープンソースのマルチクラウド継続的デリバリープラットフォームです。2025.1.6、2025.2.3、および2025.3.0以前のバージョンにはサーバーサイドリクエストフォージェリ（SSRF）の脆弱性があります。主な影響としては、ユーザーがリモートURLからデータを取得できることが挙げられます。このデータはhelmやその他の方法を介してSpinnakerのパイプラインに注入され、idmsv1認証データのような情報を抽出可能です。これには、GETリクエストや類似のエンドポイントを介してSpinnakerの内部APIを呼び出すことも含まれます。さらに、問題となるアーティファクトによっては、認証データが任意のエンドポイント（例：GitHubの認証ヘッダー）に露出し、資格情報の漏洩につながる可能性があります。この脆弱性を引き起こすには、Spinnakerインストールに2つの条件が必要です。1つ目はユーザー入力を許可するアーティファクトが有効であることです。これにはGitHubファイルアーティファクト、BitBucket、GitLab、HTTPアーティファクトおよび類似のアーティファクトプロバイダーが含まれます。HTTPアーティファクトプロバイダーを有効にするだけで、認証なしのHTTPプロバイダーが追加され、リンクローカルデータ（例：AWSメタデータ情報）を抽出するために利用可能となります。2つ目はこれらのアーティファクトの出力を消費できるシステムが存在することです。例えば、Rosco helmはこれを使用して値データを取得できます。APIがJSONを返す場合、K8sアカウントマニフェストによりパイプライン自体にデータを注入できますが、その場合パイプラインは失敗します。この脆弱性はバージョン2025.1.6、2025.2.3、および2025.3.0で修正されています。回避策としては、ユーザーが指定したURLを入力可能なHTTPアカウントタイプを無効にすることですが、多くの場合現実的ではありません。GitやDockerなど明示的にURL設定を行うアーティファクトアカウントタイプはこの制限を回避し、アーティファクトURLの読み込みが制限されているため安全です。あるいは、無効なURLを含むパイプラインへのアクセスや保存を制限するOPAポリシーを提供する各種ベンダーの利用も推奨されます。

Linux Foundation

• Spinnaker 2025.1.6 未満
• Spinnaker 2025.2.0 以上 2025.2.3 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアの一部が停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : SSRF due to improper restrictions on http from user input  Advisory  spinnaker/spinnaker  GitHub

1. 不適切な入力確認(CWE-20) [その他]
2. 認証情報の保護しない転送(CWE-523) [その他]
3. サーバサイドのリクエストフォージェリ(CWE-918) [その他]
4. サーバサイドのリクエストフォージェリ(CWE-918) [NVD評価]

1. CVE-2025-61916

1. National Vulnerability Database (NVD) : CVE-2025-61916

• [2026年02月25日]
    掲載