無料スキャン
HIGHCVE-2026-23529CVSS 7.7

Google BigQuery Sinkコネクタにおける任意のファイル読み込み

プラットフォーム

other

コンポーネント

bigquery-connector-for-apache-kafka

修正版

2.11.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月
NVDで見る
保存

Google BigQuery Sink connectorは、Apache KafkaからGoogle BigQueryへのデータ転送を可能にするシンクコネクタです。CVE-2026-23529は、このコネクタのバージョン2.11.0以前に発見された任意ファイルアクセス脆弱性です。認証情報JSONファイルの検証が不十分なため、攻撃者はコネクタが実行されている環境内の任意のファイルを読み取ることが可能になります。バージョン2.11.0へのアップデートによりこの脆弱性は修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はBigQuery Sink connectorが実行されているサーバー上の任意のファイルを読み取ることができます。これにより、機密情報(APIキー、パスワード、データベース接続文字列など)が漏洩する可能性があります。攻撃者は、この情報を使用して、さらなる攻撃を仕掛けたり、システムへのアクセスを維持したりする可能性があります。特に、認証情報が機密ファイルに保存されている場合、攻撃者はBigQueryサービス自体へのアクセス権を取得する可能性があります。この脆弱性は、機密データの漏洩、システムへの不正アクセス、およびさらなる攻撃の踏み台として悪用される可能性があります。

悪用の状況

この脆弱性は2026年1月16日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録状況は不明です。この脆弱性は、認証情報の漏洩につながる可能性があるため、深刻なリスクと見なされるべきです。

リスク対象者翻訳中…

Organizations utilizing the Aiven Google BigQuery Kafka Connect Sink connector, particularly those with automated deployment pipelines or shared hosting environments, are at heightened risk. Systems relying on the connector for critical data ingestion processes should be prioritized for patching.

検出手順翻訳中…

• linux / server:

find /opt/kafka/connectors/ -name 'aiven-bigquery-sink-connector.jar' -print0 | xargs -0 grep -i 'credential.json'

• generic web:

curl -I <connector_endpoint> | grep -i 'credential.json'

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.03% (8% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N7.7HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityNone不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
なし — 完全性への影響なし。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントbigquery-connector-for-apache-kafka
ベンダーAiven-Open
影響範囲修正版
< 2.11.0 – < 2.11.02.11.1

弱点分類 (CWE)

CWE-73CWE-918

タイムライン

  1. 予約済み
  2. 公開日
  3. EPSS 更新日

緩和策と回避策

この脆弱性への最良の対応は、Google BigQuery Sink connectorをバージョン2.11.0にアップデートすることです。アップデートがすぐに利用できない場合、一時的な回避策として、認証情報JSONファイルの内容を厳密に検証し、許可されていないファイルへのアクセスを制限するカスタムの検証ロジックを実装することを検討してください。また、コネクタが実行されている環境へのアクセスを制限し、最小権限の原則を適用することも重要です。WAFやプロキシサーバーを使用して、不審なファイルアクセス試行を検出およびブロックすることも有効です。

修正方法

Kafka BigQueryコネクタをバージョン2.11.0以降にアップデートしてください。このバージョンは、任意のファイル読み込みの脆弱性を修正します。外部から提供された認証情報構成を使用する前に、必ず検証およびサニタイズしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-23529 — 任意ファイルアクセス in Google BigQuery Sink connectorとは何ですか?

CVE-2026-23529は、Google BigQuery Sink connectorのバージョン2.11.0以前に存在する、認証情報JSONファイルの検証不備による任意ファイルアクセス脆弱性です。攻撃者はこの脆弱性を悪用して、任意のファイルを読み取ることができます。

CVE-2026-23529 in Google BigQuery Sink connectorの影響はありますか?

はい、Google BigQuery Sink connectorのバージョン2.11.0以前を使用している場合は、この脆弱性の影響を受ける可能性があります。攻撃者は、機密情報を漏洩させたり、システムへの不正アクセスを試みたりする可能性があります。

CVE-2026-23529 in Google BigQuery Sink connectorを修正するにはどうすればよいですか?

この脆弱性を修正するには、Google BigQuery Sink connectorをバージョン2.11.0にアップデートしてください。アップデートがすぐに利用できない場合は、一時的な回避策として、認証情報JSONファイルの内容を厳密に検証することを検討してください。

CVE-2026-23529は積極的に悪用されていますか?

現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、攻撃者による悪用が懸念されます。

CVE-2026-23529に関するGoogle BigQuery Sink connectorの公式アドバイザリはどこで入手できますか?

Google BigQuery Sink connectorの公式アドバイザリは、Googleのセキュリティアナウンスメントページで確認できます。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索