Logstashにおける制限されたディレクトリへのパス名の不適切な制限により、任意のファイル書き込みが発生する

この脆弱性を悪用されると、攻撃者はLogstashが処理するアーカイブ内に悪意のあるファイルパスを埋め込むことができます。Logstashがこのアーカイブを処理する際、ファイルパスの検証が不十分なため、攻撃者はファイルシステム内の任意の場所にファイルを書き込むことが可能になります。これにより、機密情報の窃取、システムの改ざん、さらにはリモートコード実行につながる可能性があります。特に、自動パイプラインのリロードが有効になっている環境では、攻撃者が制御する更新エンドポイントを通じて脆弱性を悪用するリスクが高まります。攻撃者は、Logstashプロセスが実行しているユーザー権限でファイルを書き込むため、システムへの影響は広範囲に及ぶ可能性があります。

Organizations heavily reliant on Logstash for centralized logging and data processing are at significant risk. Specifically, environments with automatic pipeline reloading enabled, or those lacking robust input validation on update endpoints, are particularly vulnerable. Shared hosting environments where multiple users share a Logstash instance also face increased risk.

• linux / server:

journalctl -u logstash | grep -i "archive extraction"

• linux / server:

ps aux | grep -i logstash | grep -i "extracting archive"

• generic web:

curl -I <logstash_update_endpoint> | grep -i "Content-Type: application/zip"

1. 2026-04-08Disclosure

   disclosure

1. 予約済み2026-03-20
2. 公開日2026-04-08
3. 更新日2026-04-10
4. EPSS 更新日2026-04-16

この脆弱性への対応策として、まずLogstashをバージョン8.19.14以降にアップグレードすることを推奨します。アップグレードが困難な場合は、自動パイプラインのリロード機能を無効にすることで、攻撃者が制御する更新エンドポイントからのアーカイブ処理を制限できます。また、WAF（Web Application Firewall）やプロキシサーバーを使用して、悪意のあるアーカイブのアップロードをブロックすることも有効です。Logstashのアクセスログやエラーログを監視し、不審なファイルアクセスや書き込み操作を検出することも重要です。アップグレード後、ファイルシステムの整合性を確認し、不正なファイルが存在しないことを確認してください。