1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. MariaDBに重大な脆弱性(CVE-2026-3494,CVE-2026-44168,CVE-2026-44170,CVE-2026-44171,CVE-2026-44172,CVE-2026-44173)

MariaDBに重大な脆弱性(CVE-2026-3494,CVE-2026-44168,CVE-2026-44170,CVE-2026-44171,CVE-2026-44172,CVE-2026-44173)

セキュリティニュース

投稿日時: 更新日時:

MariaDBに重大な脆弱性(CVE-2026-3494,CVE-2026-44168,CVE-2026-44170,CVE-2026-44171,CVE-2026-44172,CVE-2026-44173)

MariaDBは2026年5月27日、MariaDB Community Serverの修正版として、11.8.8、11.4.12、10.11.18、10.6.27を公開しました。MariaDB公式ブログでは、これらをQ2 2026 corrective releasesとして案内し、各リリースノートとチェンジログの確認を促しています。

今回の更新で注目されているのは、MariaDB Cluster、Galeraに関係する複数の脆弱性です。FreeBSDのVuXMLでは、影響を受けるパッケージとして、mariadb118-server 11.8.8未満、mariadb114-server 11.4.12未満、mariadb1011-server 10.11.18未満、mariadb106-server 10.6.27未満を挙げ、CVE-2026-48163、CVE-2026-48165、CVE-2026-49261を参照しています。

サマリー

  • MariaDB Community Server 11.8.8、11.4.12、10.11.18、10.6.27が公開されました。
  • 修正対象には、MariaDB Cluster Galeraに関係するCVE-2026-48163、CVE-2026-48165、CVE-2026-49261が含まれます。
  • FreeBSD VuXMLでは、11.8.8未満、11.4.12未満、10.11.18未満、10.6.27未満が影響対象として整理されています。
  • SUSEのセキュリティ更新では、CVE-2026-49261をwsrep_notify_cmdの安全でないパラメータ処理、CVE-2026-48165をwsrep_sst_receive_address値の安全でない利用、CVE-2026-48163をwsrep SSTのdonor側における安全でないパラメータ処理として説明しています。
  • Amazon LinuxのCVE情報では、CVE-2026-49261について、wsrep_notify_cmdがpeer suppliedのwsrep_node_nameとwsrep_node_incoming_addressを検証せず通知コマンドラインへ挿入していたと説明されています。

何が起きたか

MariaDBは、Community Server 11.8.8、11.4.12、10.11.18、10.6.27を公開しました。公式ブログでは、これらのバージョンが直ちに利用可能になったと案内し、リリースノートとチェンジログを確認するよう促しています。

FreeBSD VuXMLは、MariaDBの複数脆弱性として、mariadb118-server 11.8.8未満、mariadb114-server 11.4.12未満、mariadb1011-server 10.11.18未満、mariadb106-server 10.6.27未満を影響対象として示しています。また、参照CVEとしてCVE-2026-48163、CVE-2026-48165、CVE-2026-49261を列挙しています。

Linux From Scratchのセキュリティアドバイザリ一覧では、MariaDB 11.8.8で3件の脆弱性が修正され、リモートコード実行、リモートから悪用可能なOSコマンドインジェクション、情報漏えいにつながる可能性があると説明しています。同アドバイザリでは、これらの脆弱性はGaleraクラスタサポートを利用する必要があるため、デフォルト構成には影響しないとしています。

影響を受けるバージョン

FreeBSD VuXMLでは、影響を受けるMariaDBパッケージを以下のように整理しています。

系統 影響を受けるバージョン 修正版
MariaDB 11.8系 11.8.8未満 11.8.8
MariaDB 11.4系 11.4.12未満 11.4.12
MariaDB 10.11系 10.11.18未満 10.11.18
MariaDB 10.6系 10.6.27未満 10.6.27

MariaDB公式ブログでも、11.8.8、11.4.12、10.11.18、10.6.27がQ2 2026の修正版として公開されたことが案内されています。

Linuxディストリビューション経由でMariaDBを導入している場合、上記のMariaDB公式バージョンと、各ディストリビューションのパッケージバージョンが一致しないことがあります。SUSE、Debian、Ubuntu、Red Hat系、Amazon Linux、FreeBSD、コンテナイメージ、マネージドDB相当のサービスで、それぞれベンダーのアドバイザリを確認してください。

CVE-2026-49261:wsrep_notify_cmdの安全でないパラメータ処理

CVE-2026-49261は、wsrep_notify_cmd機能に関係する脆弱性です。

Amazon LinuxのCVE情報では、wsrep_notify_cmd機能が、peerから提供されるwsrep_node_nameおよびwsrep_node_incoming_addressの値を検証しないまま通知コマンドラインへ挿入していたため、パラメータインジェクションに対して脆弱だったと説明されています。Amazon LinuxでのCVSS v3スコアは9.0です。

SUSEのセキュリティ更新でも、CVE-2026-49261はwsrep_notify_cmdにおける安全でないパラメータ処理として説明されており、SUSE評価ではCVSS v3.1 9.0、CVSS v4.0 9.4です。

wsrep_notify_cmdは、クラスタ状態の変化などを外部コマンドへ通知する用途で利用される設定です。ここに外部から制御可能な値が安全に処理されないまま渡される場合、コマンドライン引数の注入や、設定内容によってはOSコマンド実行に近い影響につながる可能性があります。

CVE-2026-48165:joiner側のwsrep_sst_receive_address値の安全でない利用

CVE-2026-48165は、GaleraクラスタにおけるSST、State Snapshot Transferに関係する脆弱性です。

SUSEのセキュリティ更新では、CVE-2026-48165について、joiner側でwsrep_sst_receive_address値を安全でない形で利用していた問題として説明しています。SUSE評価ではCVSS v3.1 8.0、CVSS v4.0 8.9です。

SSTは、新しいノードがクラスタへ参加する際などに、既存ノードからデータのスナップショットを受け取る処理です。クラスタ環境では重要な処理ですが、ノード間で交換される値やアドレス情報の扱いに不備があると、想定外のコマンド実行、情報取得、クラスタ通信の悪用につながる可能性があります。

CVE-2026-48163:donor側のwsrep SST安全でないパラメータ処理

CVE-2026-48163も、GaleraクラスタのSSTに関係する脆弱性です。

SUSEのセキュリティ更新では、CVE-2026-48163について、donor側のwsrep SSTにおける安全でないパラメータ処理として説明しています。SUSE評価ではCVSS v3.1 8.0です。

Galeraクラスタでは、SST時にデータを提供する側をdonor、受け取る側をjoinerと呼びます。今回、CVE-2026-48165がjoiner側、CVE-2026-48163がdonor側に関係しているため、クラスタ全体のSST設定とノード間通信を確認する必要があります。

MariaDBとは

MariaDBは、MySQLから派生したオープンソースのリレーショナルデータベース管理システムです。

企業では、Webアプリケーション、CMS、ECサイト、業務システム、監視システム、ログ基盤、社内ポータル、SaaS基盤などで利用されることがあります。WordPress、EC-CUBE、Zabbix、各種Java/PHP/Pythonアプリケーションのバックエンドとして使われることも多く、OS標準パッケージとして導入されているケースもあります。

今回の脆弱性は、MariaDBそのものを利用している全環境で同じ条件で危険になるというより、MariaDB Cluster Galera、wsrep、SST、wsrep_notify_cmdといったクラスタ関連機能を使っている環境で特に確認が必要な内容です。

Galeraクラスタとは

Galeraは、MariaDBでマルチマスター構成のクラスタを実現するために使われる同期レプリケーション技術です。

複数ノードでデータベースを構成し、可用性や冗長性を高める目的で利用されます。ECサイト、基幹系アプリケーション、SaaS、監視基盤など、データベース停止の影響が大きい環境で採用されることがあります。

ただし、クラスタ構成では、通常の単体データベースとは異なり、ノード間通信、SST、IST、クラスタ参加、wsrep関連設定、通知コマンドなどが攻撃面になります。今回の脆弱性は、こうしたGaleraクラスタ固有の処理に関係するため、MariaDBを単体利用しているか、Galeraクラスタとして利用しているかで優先度が変わります。

出典

MariaDB:MariaDB Community Server Q2 2026 corrective releases

関連記事

MariaDBに深刻度「高」のバッファオーバーフロー 脆弱性(CVE-2026-32710)MariaDBに深刻度「高」のバッファオーバーフロー 脆弱性(CVE-2026-32710) React Native、開発用CLIに重大な脆弱性-CVE-2025-11953React Native、開発用CLIに重大な脆弱性-CVE-2025-11953 DrupalCoreのSQLインジェクション 脆弱性 CVE-2026-9082が実際のサイバー攻撃に悪用DrupalCoreのSQLインジェクション 脆弱性 CVE-2026-9082が実際のサイバー攻撃に悪用 Angular SSR「@angular/platform-server」に危険度の高い脆弱性CVE-2026-46417Angular SSR「@angular/platform-server」に危険度の高い脆弱性CVE-2026-46417 AngularにXSS(クロスサイトスクリプティング)が可能になる脆弱性(CVE-2026-22610)AngularにXSS(クロスサイトスクリプティング)が可能になる脆弱性(CVE-2026-22610) AWS、Research and Engineering Studioの3件の脆弱性を修正(CVE-2026-5707,CVE-2026-5708,CVE-2026-5709)AWS、Research and Engineering Studioの3件の脆弱性を修正(CVE-2026-5707,CVE-2026-5708,CVE-2026-5709)AWS、Research and Engineering Studioの3件の脆弱性を修正(CVE-2026-5707,CVE-2026-5708,CVE-2026-5709) Anthropic Project Glasswing、AI史上最強モデルClaude Mythosがサイバーセキュリティのあり方を塗り替えるAnthropic Project Glasswing、AI史上最強モデルClaude Mythosがサイバーセキュリティのあり方を塗り替える AcerのWave 7ルーターに2件のゼロデイ 脆弱性-(CVE-2026-49200,CVE-2026-49201)AcerのWave 7ルーターに2件のゼロデイ 脆弱性-(CVE-2026-49200,CVE-2026-49201) Red Hat OpenShift AI に深刻な権限昇格の脆弱性(CVE-2025-10725)Red Hat OpenShift AI に深刻な権限昇格の脆弱性(CVE-2025-10725)