MEDIUMCVE-2026-5535CVSS 4.3

FedML-AI FedML パス・トラバーサル FileUtils.java (MQTT Message Handler)

プラットフォーム

java

コンポーネント

fedml

修正版

0.8.1

0.8.2

0.8.3

0.8.4

0.8.5

0.8.6

0.8.7

0.8.8

0.8.9

0.8.10

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-5535 は、FedML 0.8.0から0.8.9までのバージョンに存在するパス・トラバーサル脆弱性です。この脆弱性は、MQTT Message Handler の FileUtils.java 内の特定の関数において、引数 dataSet の操作によって悪用され、攻撃者がファイルシステム内の機密情報にアクセスする可能性があります。現在、この脆弱性に対する公式なパッチは提供されていません。攻撃者は既にエクスプロイトを入手しており、攻撃が実行される可能性があります。

影響と攻撃シナリオ

FedML-AI FedMLのバージョン0.8.9までの脆弱性が発見されました。この脆弱性は、MQTT Message HandlerコンポーネントのFileUtils.javaファイル内の不明な関数に影響を与えます。攻撃者は、'dataSet'引数のデータを操作することでこの脆弱性を悪用し、意図された範囲外のファイルやディレクトリにアクセスできる可能性があります。この脆弱性は、リモートで悪用できるため、重大度が高いと評価されています。エクスプロイトの公開により、攻撃のリスクが大幅に増加します。ベンダーは早期にこの開示について連絡を取りましたが、対応していません。

悪用の状況

この脆弱性は、FileUtils.java内のMQTT Message Handlerコンポーネントの'dataSet'引数を操作することで悪用されます。公開されているエクスプロイトにより、リモートの攻撃者は基盤となるファイルシステム上の任意のファイルにアクセスできます。これは、不十分な入力検証が原因です。このエクスプロイトのリモートの性質は、攻撃者がシステムへの物理的なアクセスを必要としないことを意味します。エクスプロイトの公開により、悪用試行の可能性が高まります。ベンダーの対応がないことは状況を悪化させ、公式の修正プログラムが利用できないためです。

リスク対象者翻訳中…

Organizations utilizing FedML for machine learning or data processing, particularly those deploying it in cloud environments or shared hosting setups, are at significant risk. Environments with weak input validation or inadequate network segmentation are especially vulnerable.

検出手順翻訳中…

• java / server:

find /path/to/fedml/ -name "FileUtils.java"

• java / server:

ps aux | grep -i "FedML"

• generic web:

curl -I http://your-fedml-server/../../../../etc/passwd

攻撃タイムライン

2026-04-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.04% (13% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントfedml

ベンダーFedML-AI

影響範囲修正版

0.8.0 – 0.8.00.8.1

0.8.1 – 0.8.10.8.2

0.8.2 – 0.8.20.8.3

0.8.3 – 0.8.30.8.4

0.8.4 – 0.8.40.8.5

0.8.5 – 0.8.50.8.6

0.8.6 – 0.8.60.8.7

0.8.7 – 0.8.70.8.8

0.8.8 – 0.8.80.8.9

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-04-04
公開日2026-04-05
更新日2026-04-06
EPSS 更新日2026-04-12

未パッチ — 公開から49日経過

緩和策と回避策

ベンダーからの対応がないため、即時の軽減策は困難です。主な推奨事項は、パッチが適用されたFedML-AIのバージョンにアップグレードすることです。その間は、FedML-AIをホストしているサーバーで厳格なアクセス制御を実装して、機密ファイルへのアクセスを制限します。システムログを積極的に監視して、ファイル処理に関連する疑わしいアクティビティを検出します。ネットワークセグメンテーションにより、FedML-AIシステムを他の重要なリソースから分離できます。ベンダーの沈黙は、堅牢なインシデント対応計画の重要性を強調しています。

修正方法翻訳中…

Actualice a una versión corregida de FedML que solucione la vulnerabilidad de recorrido de directorios en el manejo de mensajes MQTT. Consulte la documentación del proveedor o los registros de cambios para obtener más detalles sobre las versiones corregidas y las instrucciones de actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5535 とは何ですか？（FedML の Path Traversal）

'パス・トラバーサル'は、攻撃者がファイルパス内の'..'のようなシーケンスを使用して、意図された範囲外のファイルやディレクトリにアクセスできるようにする脆弱性です。

FedML の CVE-2026-5535 による影響を受けていますか？

厳格なアクセス制御を実装し、システムログを監視し、ネットワークセグメンテーションを検討してください。

FedML の CVE-2026-5535 を修正するにはどうすればよいですか？

ベンダーの対応がないことは懸念事項であり、脆弱性の軽減を妨げています。ご懸念を表明するために、ベンダーに直接連絡することを検討してください。

CVE-2026-5535 は積極的に悪用されていますか？

はい、エクスプロイトの公開により、比較的簡単に悪用できることが示唆されています。

CVE-2026-5535 に関する FedML の公式アドバイザリはどこで確認できますか？

FedML-AIのバージョン0.8.9を実行しているシステムはすべて脆弱です。影響を受けるインスタンスを特定するために、インフラストラクチャを評価してください。