JVNDB-2026-005760

Linux FoundationのvitessにおけるOS コマンドインジェクションの脆弱性

VitessはMySQLの水平スケーリングのためのデータベースクラスタリングシステムです。バージョン23.0.3および22.0.4以前のバージョンでは、バックアップストレージの読み書きアクセス権（例：S3バケット）を持つユーザーであれば誰でもバックアップマニフェストファイルを操作でき、そのバックアップが復元される際に任意のコードが実行される可能性がありました。これにより攻撃者は本番環境への不正なアクセスを得て、その環境内の情報にアクセスしたり、追加の任意のコマンドを実行したりすることが可能となります。バージョン23.0.3および22.0.4にはこの問題を修正するパッチが含まれています。いくつかの回避策も利用可能です。外部解凍プログラムを使用する予定のあるユーザーは、常に`vttablet`および`vtbackup`の`--external-decompressor`フラグにその解凍コマンドを指定することで、マニフェストファイル内の値を上書きできます。外部解凍も内部解凍も使用しない場合は、`vttablet`および`vtbackup`の`--external-decompressor`フラグに`cat`や`tee`などの無害なコマンドを指定して、常に安全なコマンドが使用されるようにできます。

Linux Foundation

• vitess 22.0.4 未満
• vitess 23.0.0 以上 23.0.3 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Users with backup storage access can gain unauthorized access to production deployment environments  Advisory  vitessio/vitess  GitHub

1. OSコマンドインジェクション(CWE-78) [その他]

1. CVE-2026-27965

1. National Vulnerability Database (NVD) : CVE-2026-27965
2. 関連文書 : Bug Report: backup restore trusts decompressor in `MANIFEST` by default  Issue #19459  vitessio/vitess
3. 関連文書 : Restore: make loading compressor commands from `MANIFEST` opt-in by timvaillancourt  Pull Request #19460  vitessio/vitess  GitHub
4. 関連文書 : Restore: make loading compressor commands from `MANIFEST` opt-in (#19…  vitessio/vitess@4c01732  GitHub

• [2026年03月04日]
    掲載