🔥 この記事の詳細
2026-05-19 更新
B
今週中

Apache FlinkのSQLコード生成処理における文字列エスケープの不備により、コードインジェクションが可能な脆弱性(CVE-2026-35194)

脆弱性
🖥️ 製品Apache
🔢 CVECVE-2026-35194
📅 2026-05-19📰 secnext
📌 一言でいうと
Apache FlinkのSQLコード生成処理における文字列エスケープの不備により、コードインジェクションが可能な脆弱性(CVE-2026-35194)が判明しました。認証済みでクエリ送信権限を持つ攻撃者が、TaskManager上で任意のコードを実行させる恐れがあります。開発チームは重要度を「クリティカル」としており、修正済みのバージョン(2.2.1, 2.1.2, 2.0.2, 1.20.4)がリリースされています。
🔍該当判定
  • 社内で「Apache Flink」というデータ処理ソフトを導入・利用している
  • 自社開発のシステムや分析基盤で「Apache Flink」を組み込んでいる
  • クラウドサービス等で「Apache Flink」を利用し、SQLクエリを送信できる権限を持つユーザーが存在する
上記いずれにも該当しない → 静観でOK
該当時の対応
速やかに修正済みバージョン(Apache Flink 2.2.1, 2.1.2, 2.0.2, 1.20.4)へアップデートすることを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Apache Flink CVE-2026-35194 対応について

お疲れさまです。Apache Flinkの脆弱性に関する情報共有です。

■ 概要
SQLのコード生成処理における文字列エスケープの不備により、コードインジェクションが可能な脆弱性が判明しました。CVSSv3.1ベーススコアは8.1(高)と評価されていますが、開発チームは重要度を「クリティカル」としています。

■ 影響範囲
- Apache Flink (修正済みバージョン未満のバージョン)
- 特にJSON関数やESCAPE句を伴うLIKE式の処理に影響があります。

■ 対応手順
1. 利用中のApache Flinkのバージョンを確認してください。
2. 以下の修正済みバージョンへアップデートを適用してください:
- 2.2.1, 2.1.2, 2.0.2, 1.20.4

■ 参考情報
- GitHub: apache/flink

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Apache Flink CVE-2026-35194 Mitigation

Dear team,

This is a notification regarding a critical vulnerability in Apache Flink.

■ Overview
An improper string escaping issue in SQL code generation allows for code injection (CVE-2026-35194). While CISA assigns a CVSSv3.1 base score of 8.1 (High), the development team has rated the severity as 'Critical'.

■ Scope
- Affected: Apache Flink versions prior to the patches.
- Specifically impacts JSON functions and LIKE expressions using the ESCAPE clause.

■ Mitigation Steps
1. Verify the current version of Apache Flink in use.
2. Update to one of the following patched versions:
- 2.2.1, 2.1.2, 2.0.2, or 1.20.4

■ Reference
- GitHub: apache/flink

Priority: High
Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-19 のまとめ🔍 記事を検索