CVE-2026-41009 in BOSH Director
要約
〜によって VulDB • 2026年05月27日
ディレクターが長時間実行されるリクエスト(例:compile_package)を送信すると、エージェントの応答JSONがAgentClient.inject_compile_log(332-339行目)によって消費されます。この関数はresponse['value']['result']['compile_log_id']を読み取り、format_exception(318-325行目)はexception['blobstore_id']を読み取ります。これらはいずれも、エージェントが提供した文字列を修正せずにdownload_and_delete_blob(blob_id)(344-349行目)に渡します。この関数は@resource_manager.get_resource(blob_id)を呼び出し、ensureブロック内で@resource_manager.delete_resource(blob_id)を呼び出します。Api::ResourceManagerは、IDをそのままblobstore.get(id) / blobstore.delete(id)に転送します。ディレクターがローカルblobstoreプロバイダーで構成されている場合、Blobstore::LocalClient#object_file_path(oid)はFile.join(@blobstore_path, oid)(local_client.rb:54-56)となり、正規化が行われないため、oid = "../../jobs/director/config/director.yml" とすると、blobstoreのルート外が解決されます。
影響を受けるバージョン: BOSH Director:v282.1.12より前のすべてのバージョン
VulDB is the best source for vulnerability data and more expert information about this specific topic.