「Apache Ranger」にRCE脆弱性 - 開発者とCISAで評価に差
Hadoopなどビッグデータ基盤のアクセス制御や監査を一元管理するフレームワーク「Apache Ranger」に、リモートから任意のコードを実行されるおそれがある脆弱性が判明した。修正版が提供されている。
「同2.7.0」および以前のバージョンにおいて、不適切なコード生成制御に起因し、細工された入力によってリモートから任意のコードを実行されるおそれがある脆弱性「CVE-2025-59059」が確認された。
開発チームが2026年3月3日付けで明らかにしたもので、重要度は4段階中もっとも低い「低(Low)」とレーティングしている。
一方、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、共通脆弱性評価システム「CVSSv3.1」における同脆弱性のベーススコアを「9.8」と評価。重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングするなど、評価にギャップが見られた。
開発チームでは、脆弱性に対処した「Apache Ranger 2.8.0」を現地時間2026年2月27日にリリース。利用者にアップデートを呼びかけている。
(Security NEXT - 2026/03/04 )
ツイート
PR
関連記事
ファイルサーバ「goshs」に認証回避など複数脆弱性 - 修正版を公開
「Apache ActiveMQ」にRCE脆弱性 - 悪用が確認され「KEV」にも登録
「Cisco ISE」に複数の深刻な脆弱性 - 一部修正パッチを準備中
「Ivanti Neurons for ITSM」に脆弱性 - アップデートを提供
SAP、月例セキュリティアドバイザリ19件を公開 - 「クリティカル」も
「Cisco Webex」のSSO連携に深刻な脆弱性 - 証明書の更新を
「Chrome」が脆弱性31件を修正 - 5件は「クリティカル」
「Adobe Acrobat/Reader」がわずか3日で再更新 - 深刻な脆弱性を修正
「Adobe Acrobat/Reader」にゼロデイ脆弱性 - 悪用を確認、緊急更新を
米当局、「SharePoint Server」「Excel」の脆弱性悪用に注意喚起
