Spinnaker clouddriver および orca のホスト名におけるアンダースコアによる URL 検証バイパス

この脆弱性を悪用されると、攻撃者はSpinnaker Clouddriver artifactsのURL検証をバイパスし、悪意のあるURLをシステムに注入することが可能になります。これにより、攻撃者は機密情報への不正アクセス、システム設定の改ざん、さらにはシステム全体の制御奪取といった深刻な被害をもたらす可能性があります。特に、artifactsの処理パイプラインを通過するデータは、重要な設定情報や認証情報を含む可能性があるため、その影響は甚大です。この脆弱性は、CVE-2025-61916の回避として発見されたため、既存のセキュリティ対策を迂回するリスクも考慮する必要があります。

Organizations heavily reliant on Spinnaker for continuous delivery pipelines are at significant risk. Specifically, those using older versions of Spinnaker (≤main-99) and those with custom fromUrl expressions in Orca are particularly vulnerable. Shared hosting environments utilizing Spinnaker also face increased risk due to potential cross-tenant exploitation.

• linux / server:

journalctl -u spinnaker-clouddriver -g 'URL validation' | grep -i underscore

• generic web:

curl -I <spinnaker_url>/artifacts/ | grep 'Content-Type:'

• generic web:

 grep -i 'underscore' /var/log/nginx/access.log

1. 2026-03-16Disclosure

   disclosure

1. 予約済み2026-02-02
2. 公開日2026-03-16
3. 更新日2026-04-02
4. EPSS 更新日2026-03-25

この脆弱性への対応として、まずSpinnaker Clouddriver artifactsを2025.2.4以降のバージョンにアップデートすることを強く推奨します。アップデートが困難な場合は、一時的な回避策として、WAF（Web Application Firewall）やリバースプロキシで、アンダースコアを含むURLの処理を制限するルールを実装することを検討してください。また、OrcaのfromUrl式処理においても同様の脆弱性が存在するため、関連する設定を見直し、URL検証の強化を検討する必要があります。アップデート後、URL検証ロジックが正しく機能していることを確認し、脆弱性が解消されていることを検証してください。