Google BigQuery Sinkコネクタにおける任意のファイル読み込み

この脆弱性を悪用されると、攻撃者はBigQuery Sink connectorが実行されているサーバー上の任意のファイルを読み取ることができます。これにより、機密情報（APIキー、パスワード、データベース接続文字列など）が漏洩する可能性があります。攻撃者は、この情報を使用して、さらなる攻撃を仕掛けたり、システムへのアクセスを維持したりする可能性があります。特に、認証情報が機密ファイルに保存されている場合、攻撃者はBigQueryサービス自体へのアクセス権を取得する可能性があります。この脆弱性は、機密データの漏洩、システムへの不正アクセス、およびさらなる攻撃の踏み台として悪用される可能性があります。

Organizations utilizing the Aiven Google BigQuery Kafka Connect Sink connector, particularly those with automated deployment pipelines or shared hosting environments, are at heightened risk. Systems relying on the connector for critical data ingestion processes should be prioritized for patching.

• linux / server:

find /opt/kafka/connectors/ -name 'aiven-bigquery-sink-connector.jar' -print0 | xargs -0 grep -i 'credential.json'

• generic web:

curl -I <connector_endpoint> | grep -i 'credential.json'

1. 2026-01-16Disclosure

   disclosure

1. 予約済み2026-01-13
2. 公開日2026-01-16
3. EPSS 更新日2026-03-23

この脆弱性への最良の対応は、Google BigQuery Sink connectorをバージョン2.11.0にアップデートすることです。アップデートがすぐに利用できない場合、一時的な回避策として、認証情報JSONファイルの内容を厳密に検証し、許可されていないファイルへのアクセスを制限するカスタムの検証ロジックを実装することを検討してください。また、コネクタが実行されている環境へのアクセスを制限し、最小権限の原則を適用することも重要です。WAFやプロキシサーバーを使用して、不審なファイルアクセス試行を検出およびブロックすることも有効です。