JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-004761 Spinnakerはオープンソースのマルチクラウド継続的デリバリープラットフォームです。2025.1.6、2025.2.3、および2025.3.0以前のバージョンにはサーバーサイドリクエストフォージェリ（SSRF）の脆弱性があります。主な影響としては、ユーザーがリモートURLからデータを取得できることが挙げられます。このデータはhelmやその他の方法を介してSpinnakerのパイプラインに注入され、idmsv1認証データのような情報を抽出可能です。これには、GETリクエストや類似のエンドポイントを介してSpinnakerの内部APIを呼び出すことも含まれます。さらに、問題となるアーティファクトによっては、認証データが任意のエンドポイント（例：GitHubの認証ヘッダー）に露出し、資格情報の漏洩につながる可能性があります。この脆弱性を引き起こすには、Spinnakerインストールに2つの条件が必要です。1つ目はユーザー入力を許可するアーティファクトが有効であることです。これにはGitHubファイルアーティファクト、BitBucket、GitLab、HTTPアーティファクトおよび類似のアーティファクトプロバイダーが含まれます。HTTPアーティファクトプロバイダーを有効にするだけで、認証なしのHTTPプロバイダーが追加され、リンクローカルデータ（例：AWSメタデータ情報）を抽出するために利用可能となります。2つ目はこれらのアーティファクトの出力を消費できるシステムが存在することです。例えば、Rosco helmはこれを使用して値データを取得できます。APIがJSONを返す場合、K8sアカウントマニフェストによりパイプライン自体にデータを注入できますが、その場合パイプラインは失敗します。この脆弱性はバージョン2025.1.6、2025.2.3、および2025.3.0で修正されています。回避策としては、ユーザーが指定したURLを入力可能なHTTPアカウントタイプを無効にすることですが、多くの場合現実的ではありません。GitやDockerなど明示的にURL設定を行うアーティファクトアカウントタイプはこの制限を回避し、アーティファクトURLの読み込みが制限されているため安全です。あるいは、無効なURLを含むパイプラインへのアクセスや保存を制限するOPAポリシーを提供する各種ベンダーの利用も推奨されます。 cpe:/a:linuxfoundation:spinnaker https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-004761.html Common Vulnerabilities and Exposures (CVE) CVE-2025-61916 https://www.cve.org/CVERecord?id=CVE-2025-61916 National Vulnerability Database (NVD) CVE-2025-61916 https://nvd.nist.gov/vuln/detail/CVE-2025-61916 GitHub Advisory Database SSRF due to improper restrictions on http from user input Advisory spinnaker/spinnaker GitHub https://github.com/spinnaker/spinnaker/security/advisories/GHSA-vrjc-q2fh-6x9h JVNDB CWE-918 https://cwe.mitre.org/data/definitions/918.html JVNDB CWE-523 https://cwe.mitre.org/data/definitions/523.html JVNDB CWE-20 https://jvndb.jvn.jp/ja/cwe/CWE-20.html 2026-02-25T12:41:30+09:00 2026-02-25T12:41:30+09:00