プラットフォーム
java
コンポーネント
org.open-metadata:openmetadata-sdk
修正版
1.11.9
1.11.8
CVE-2026-26010は、OpenMetadata SDKにおいて、/api/v1/ingestionPipelinesエンドポイントへのリクエストを通じてJWT(JSON Web Token)が漏洩する脆弱性です。この漏洩により、攻撃者はIngestion Botの特権アカウントに不正にアクセスし、OpenMetadataインスタンスに対する破壊的な変更や、機密データの漏洩を引き起こす可能性があります。影響を受けるバージョンは1.11.7以下であり、バージョン1.11.8へのアップデートで修正されています。
この脆弱性を悪用されると、攻撃者はOpenMetadataのUIから/api/v1/ingestionPipelinesエンドポイントにアクセスすることで、Ingestion Botが使用するJWTを窃取できます。このJWTは、Glue、Redshift、Postgresなどのサービスに対して高い権限を持つアカウントに関連付けられています。攻撃者はこのJWTを使用して、OpenMetadataインスタンス内のデータに不正にアクセスしたり、機密情報を漏洩させたり、設定を変更したり、さらにはOpenMetadataインスタンスを完全に制御したりする可能性があります。特に、サンプルデータやサービスメタデータへのアクセスが容易になり、ロールやポリシーによるアクセス制限を回避できる可能性があります。この脆弱性は、OpenMetadata環境全体のセキュリティを脅かす重大なリスクとなります。
この脆弱性は2026年2月11日に公開されました。現在、公開されているPoC(Proof of Concept)が存在し、攻撃者がこの脆弱性を悪用できる可能性が高まっています。CISA KEV(Known Exploited Vulnerabilities)カタログへの登録状況は不明ですが、公開されているPoCの存在から、攻撃者による悪用が現実的な脅威であると考えられます。OpenMetadata環境を使用している組織は、迅速な対応が必要です。
Organizations utilizing OpenMetadata for data governance and metadata management are at risk. Specifically, deployments with read-only user accounts that have access to the /api/v1/ingestionPipelines endpoint are particularly vulnerable. Environments relying on the 'Ingestion Bot' role for automated data ingestion processes are also at heightened risk, as a compromised JWT could disrupt these critical workflows.
• java / server: Monitor OpenMetadata access logs for requests to /api/v1/ingestionPipelines originating from read-only user accounts. Look for unusual patterns or large numbers of requests.
• generic web: Use curl to test the /api/v1/ingestionPipelines endpoint with a read-only user's credentials and examine the response headers for JWT tokens.
curl -H "Authorization: Bearer <read_only_jwt>" https://<openmetadata_url>/api/v1/ingestionPipelinesdisclosure
poc
patch
エクスプロイト状況
EPSS
0.01% (3% パーセンタイル)
CISA SSVC
CVSS ベクトル
OpenMetadata SDKのバージョンを1.11.8以降にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートが利用できない場合は、/api/v1/ingestionPipelinesエンドポイントへのアクセスを制限するWAF(Web Application Firewall)ルールを実装するか、アクセス制御リスト(ACL)を使用して、信頼できるユーザーのみがアクセスできるように制限することを検討してください。また、Ingestion Botアカウントの権限を最小限に抑え、不要な権限を削除することで、攻撃者がアカウントを乗っ取った場合の被害を軽減できます。アップデート後、OpenMetadataインスタンスのログを監視し、不正なアクセスや異常なアクティビティがないか確認してください。
OpenMetadata をバージョン 1.11.8 以降にアップデートしてください。このバージョンは、JWT の漏洩を通じて、権限昇格されたアカウントに不正なユーザーがアクセスできる脆弱性を修正します。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-26010は、OpenMetadata SDKの/api/v1/ingestionPipelinesエンドポイント経由の呼び出しでJWTが漏洩する脆弱性です。攻撃者はこのJWTを窃取し、特権アカウントにアクセスする可能性があります。
OpenMetadata SDKのバージョン1.11.7以下を使用している場合は影響を受けます。攻撃者はJWTを窃取し、データ漏洩や破壊的な変更を引き起こす可能性があります。
OpenMetadata SDKをバージョン1.11.8以降にアップデートしてください。アップデートができない場合は、WAFルールを実装するか、アクセス制御リストを使用して/api/v1/ingestionPipelinesエンドポイントへのアクセスを制限してください。
公開されているPoCが存在するため、攻撃者による悪用が現実的な脅威であると考えられます。
OpenMetadataの公式アドバイザリは、OpenMetadataのウェブサイトまたはGitHubリポジトリで確認できます。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。