CVE-2025-2298 in Software
要約
〜によって VulDB • 2026年05月21日
Dremio Softwareの不適切な認可(authorization)の脆弱性により、認証済みユーザーがシステムがアクセス可能な任意のファイル(システムファイルや、S3、Azure Blob Storage、ローカルファイルシステムなどのリモートロケーションに保存されたファイルを含む)を削除できます。この脆弱性は、APIエンドポイントにおけるアクセス制御の不備に起因しており、認証済みユーザーであれば誰でも意図されたスコープ外のファイルを指定して削除することが可能です。この欠陥を悪用すると、データ損失、サービス拒否(DoS)、および削除されるファイルに応じて影響の拡大につながる可能性があります。
影響を受けるバージョン: * Dremio 24.0.0未満のすべてのバージョン
* Dremio 24.3.0 - 24.3.16
* Dremio 25.0.0 - 25.0.14
* Dremio 25.1.0 - 25.1.7
* Dremio 25.2.0 - 25.2.4
修正されたバージョン: * Dremio 24.3.17以降
* Dremio 25.0.15以降
* Dremio 25.1.8以降
* Dremio 25.2.5以降
* Dremio 26.0.0以降
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.