Feast Feature Serverの/read-documentエンドポイントに、認証を必要としない攻撃者が任意のファイルを読み出す脆弱性(任意ファイルアクセス)が見つかりました。この脆弱性を悪用されると、機密情報が漏洩する可能性があります。影響を受けるバージョンは現時点では特定されていません。最新バージョンへのアップグレードを推奨し、一時的な緩和策として、アクセス制御の強化を検討してください。
この脆弱性は、攻撃者がFeast Feature Serverがアクセス可能な任意のファイルを読み出すことを可能にします。これにより、機密性の高いシステムファイル、アプリケーション設定、さらには認証情報が漏洩するリスクがあります。攻撃者は、これらの情報を利用して、システムへの更なる侵入を試みたり、データを盗み出したりする可能性があります。類似の脆弱性は、ファイルアクセス制御の不備から発生することが多く、適切なアクセス制御リスト(ACL)の設定や、ファイルへのアクセス権限の厳格な管理が重要となります。
本脆弱性は、2026年3月20日に公開されました。現時点では、KEV(Known Exploited Vulnerabilities)に登録されていません。公開されているPoC(Proof of Concept)は確認されていませんが、任意ファイルアクセス脆弱性であるため、悪用される可能性は否定できません。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の情報を入手するようにしてください。
Organizations deploying Feast Feature Server in production environments are at risk. Specifically, those running unpatched instances or those with limited access controls around the /read-document endpoint are particularly vulnerable. Shared hosting environments where Feast Feature Server is deployed alongside other applications may also be at increased risk due to potential cross-tenant access.
• linux / server:
journalctl -u feast-feature-server -g "/read-document"• generic web:
curl -I <feast_feature_server_url>/read-document• generic web:
grep -r "/read-document" /var/log/nginx/access.logdisclosure
エクスプロイト状況
EPSS
0.09% (25% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性に対する根本的な解決策は、Feast Feature Serverを最新バージョンにアップグレードすることです。アップグレードが困難な場合は、一時的な緩和策として、/read-documentエンドポイントへのアクセスを制限するファイアウォールルールやプロキシ設定を実装することを検討してください。また、アクセス制御リスト(ACL)を適切に設定し、ファイルへのアクセス権限を最小限に抑えることも有効です。脆弱性スキャンツールを使用して、定期的にシステムをスキャンし、同様の脆弱性を検出することも重要です。
Actualice Red Hat OpenShift AI (RHOAI) a la última versión disponible. Esto solucionará la vulnerabilidad de lectura de archivos arbitrarios no autenticada en el Feast Feature Server.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-23536は、Feast Feature Serverの/read-documentエンドポイントにおける、認証なしで任意のファイルを読み出すことができる脆弱性です。攻撃者はHTTP POSTリクエストを送信することで、アクセス制限を回避し、機密情報を盗み出す可能性があります。
Feast Feature Serverを導入している場合は、影響を受ける可能性があります。特に、/read-documentエンドポイントへのアクセス制御が不十分な環境や、デフォルト設定のまま運用している環境は注意が必要です。
Feast Feature Serverを最新バージョンにアップグレードすることを推奨します。アップグレードが困難な場合は、アクセス制御の強化やファイアウォールルールの設定などの緩和策を検討してください。
現時点では、積極的に悪用されているという報告はありませんが、任意ファイルアクセス脆弱性であるため、悪用される可能性は否定できません。
Feast Feature Serverの公式アドバイザリは、Feast Feature Serverの公式ウェブサイトまたはGitHubリポジトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。