Apache Ranger にはコードインジェクションの脆弱性があります

この脆弱性を悪用されると、攻撃者は Ranger サーバー上で任意のコードを実行できるようになります。これにより、機密データの窃取、システムの改ざん、さらにはシステム全体の制御権を奪われる可能性があります。攻撃者は、Ranger プラグインの処理パイプラインを悪用し、悪意のある JavaScript コードを注入することで、この脆弱性を突く可能性があります。この攻撃は、Ranger が使用されている環境への広範囲な影響をもたらす可能性があり、特に機密データを扱う環境では重大なリスクとなります。類似の脆弱性は、JavaScript エンジンを介したコード実行によって発生する可能性があり、注意が必要です。

Organizations heavily reliant on Apache Ranger for data governance and security policy enforcement are at significant risk. Specifically, deployments using older versions of Ranger Plugins Common (≤2.7.0) are vulnerable. Environments where Ranger is integrated with sensitive data stores or critical infrastructure are particularly exposed.

• java / server:

ps -ef | grep Nashorn

• java / server:

find /opt/ranger/ -name "*NashornScriptEngineCreator.class"

• java / server:

journalctl -u ranger-plugins-common -g "NashornScriptEngineCreator"

1. 2026-03-03Disclosure

   disclosure

1. 予約済み2025-09-08
2. 公開日2026-03-03
3. 更新日2026-03-09
4. EPSS 更新日2026-03-23

この脆弱性への最も効果的な対策は、Apache Ranger をバージョン 2.8.0 へのアップグレードです。アップグレードが直ちに実行できない場合は、NashornScriptEngineCreator を使用する機能を無効化するか、入力の検証を強化することでリスクを軽減できます。WAF (Web Application Firewall) を導入し、悪意のあるスクリプトの実行をブロックするルールを設定することも有効です。また、Ranger のログを監視し、不審なアクティビティを検出するためのカスタムの検出ルールを作成することも推奨されます。アップグレード後、Ranger サーバーを再起動し、バージョンが 2.8.0 に正常にアップグレードされていることを確認してください。