| タイトル | MariaDB Corporation Ab.のMariaDBにおけるOS コマンドインジェクションの脆弱性 |
|---|---|
| 概要 | MariaDBサーバーはMySQLサーバーのコミュニティによって開発されたフォークです。バージョン10.6.1から10.6.26、10.11.1から10.11.17、11.4.1から11.4.11、11.8.1から11.8.7、および12.3.1において、`wsrep_notify_cmd`が有効になっている場合、参加ノードの名前に埋め込まれたシェルコマンドが実行される可能性があります。この問題は10.6.27、10.11.18、11.4.12、11.8.8、および12.3.2で修正されています。アップグレードができない場合は、`wsrep_notify_cmd`を無効にすることを推奨します。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月11日0:00 |
| 登録日 | 2026年6月22日11:49 |
| 最終更新日 | 2026年6月22日11:49 |
| CVSS3.0 : 緊急 | |
| スコア | 9.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| MariaDB Corporation Ab. |
| MariaDB 10.11.1 以上 10.11.18 未満 |
| MariaDB 10.6.1 以上 10.6.27 未満 |
| MariaDB 11.4.1 以上 11.4.12 未満 |
| MariaDB 11.8.1 以上 11.8.8 未満 |
| MariaDB 12.3.1 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月22日] 掲載 |
2026年6月22日11:49 |
| 概要 | MariaDB server is a community developed fork of MySQL server. Versions 10.6.1 through 10.6.26, 10.11.1 through 10.11.17, 11.4.1 through 11.4.11, 11.8.1 through 11.8.7, and 12.3.1 with `wsrep_notify_cmd` enabled would execute shell commands embedded in the name of the joiner node. This is fixed in 10.6.27, 10.11.18, 11.4.12, 11.8.8, and 12.3.2. As a workaround, anyone who cannot upgrade now should disable `wsrep_notify_cmd`. |
|---|---|
| 公表日 | 2026年6月12日3:16 |
| 登録日 | 2026年6月12日4:19 |
| 最終更新日 | 2026年6月12日3:16 |