HIGHCVE-2026-26187CVSS 8.1

lakeFS は、local block adapter におけるパス・トラバーサル脆弱性により、cross-namespace および sibling ディレクトリへのアクセスを許可する (github.com/treeverse/lakefs)

Q: CVE-2026-26187はlakeFSで影響を受けますか？

lakeFSを使用している場合は、影響を受ける可能性があります。特に、ローカルブロックアダプタを使用している環境や、ファイルシステムへのアクセス制御が不十分な環境では、注意が必要です。

Q: CVE-2026-26187はlakeFSでどのように修正しますか？

lakeFSをバージョン1.77.0以降にアップデートすることで、この脆弱性は修正されます。アップデートがすぐに適用できない場合は、ファイルシステムのアクセス制御を強化することを検討してください。

Q: CVE-2026-26187のlakeFS公式アドバイザリはどこで入手できますか？

github.com/treeverse/lakefsの公式リポジトリまたは関連するセキュリティアナウンスメントをご確認ください。

プラットフォーム

コンポーネント

github.com/treeverse/lakefs

修正版

1.77.1

1.77.0

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-26187は、github.com/treeverse/lakefsのローカルブロックアダプタにおけるパストラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はクロスネームスペースや兄弟ディレクトリへの不正なアクセスを試み、機密情報の漏洩や改ざんを引き起こす可能性があります。影響を受けるバージョンは特定されていませんが、1.77.0へのアップデートでこの問題は解決されています。

影響と攻撃シナリオ

このパストラバーサル脆弱性は、攻撃者がlakeFSのファイルシステム構造を意図的に操作し、本来アクセスできないファイルやディレクトリにアクセスすることを可能にします。具体的には、攻撃者は他の名前空間内のデータにアクセスしたり、兄弟ディレクトリ内の機密情報を盗み出したりする可能性があります。この脆弱性が悪用されると、データの完全性が損なわれ、機密情報が漏洩するリスクがあります。攻撃者は、この脆弱性を利用して、lakeFSインスタンス内の他のコンポーネントへの攻撃の足がかりとして利用する可能性も考えられます。

悪用の状況

CVE-2026-26187は、2026年2月17日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、パストラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。KEVへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Organizations using lakeFS for data lake management, particularly those with multi-tenant deployments or shared namespaces, are at increased risk. Legacy lakeFS configurations with relaxed access controls are also more vulnerable. Teams relying on lakeFS for sensitive data storage should prioritize patching.

検出手順翻訳中…

• go / application: Inspect lakeFS configuration files for unusual path entries. Monitor lakeFS logs for suspicious file access attempts, particularly those involving .. sequences.

find /opt/lakefs/ -path "*/..*" -print

• generic web: Monitor access logs for requests containing path traversal sequences (e.g., ../../../../etc/passwd). • generic web: Check response headers for unexpected file disclosures. • generic web: Use curl to probe for directory traversal:

curl -v 'http://your-lakefs-instance/../../../../etc/passwd' 2>&1 | grep 'HTTP/1.1 200 OK'

攻撃タイムライン

2026-02-17Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.08% (23% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントgithub.com/treeverse/lakefs

ベンダーosv

影響範囲修正版

< 1.77.0 – < 1.77.01.77.1

—1.77.0

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-02-11
公開日2026-02-17
更新日2026-02-19
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最も効果的な対策は、lakeFSをバージョン1.77.0以降にアップデートすることです。アップデートがすぐに適用できない場合は、ファイルシステムのアクセス制御を強化し、不要なディレクトリへのアクセスを制限することを検討してください。WAF（Web Application Firewall）を導入し、パストラバーサル攻撃のパターンを検知・ブロックするルールを設定することも有効です。また、lakeFSのログを監視し、異常なアクセスパターンを早期に発見することも重要です。

修正方法翻訳中…

Actualice lakeFS a la versión 1.77.0 o superior. Esta versión corrige la vulnerabilidad de path traversal en el adaptador de bloques local, impidiendo el acceso no autorizado a archivos fuera de los límites de almacenamiento designados. La actualización asegura que las rutas solicitadas se validen correctamente y que los identificadores de objetos permanezcan dentro de sus namespaces designados.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-26187 — パストラバーサルはlakeFSで何ですか？

CVE-2026-26187は、github.com/treeverse/lakefsのローカルブロックアダプタにおけるパストラバーサル脆弱性です。攻撃者はこの脆弱性を悪用して、本来アクセスできないファイルやディレクトリにアクセスする可能性があります。

CVE-2026-26187はlakeFSで影響を受けますか？