概要
DataLinkDC dinkyのFlink Proxy Controllerコンポーネントにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性(CVE-2026-3052)が報告されました。この脆弱性は、dinky-admin/src/main/java/org/dinky/controller/FlinkProxyController.javaファイル内のproxyUba関数における操作により、攻撃者が任意のサーバーへのリクエストを偽装できる可能性があるものです。
本脆弱性はリモートから悪用される可能性があり、既にエクスプロイトコードが公開されていると報告されています。ベンダーへの連絡は行われたものの、現時点では応答がない状況です。
影響範囲
影響を受ける製品
- DataLinkDC dinky バージョン1.2.5までの製品
影響を受けるコンポーネント
- Flink Proxy Controller (ファイル:
dinky-admin/src/main/java/org/dinky/controller/FlinkProxyController.java内のproxyUba関数)
想定される影響
攻撃者によって、内部ネットワーク内のシステムへのアクセスや、外部サービスへの不正なリクエスト送信など、様々な悪用が行われる可能性があります。これにより、情報漏洩、不正なデータ操作、または他のシステムへの足がかりとされるリスクが考えられます。
攻撃成立条件・悪用状況
本脆弱性はリモートから攻撃が可能です。また、既にエクスプロイトコードが公開されており、悪用される危険性が高いと報告されています。
推奨対策
優先度:高
- ベンダーから修正パッチがリリースされた場合、速やかに適用してください。現時点ではベンダーからの応答がないと報告されているため、定期的に公式情報を確認することが重要です。
優先度:中
- 可能であれば、dinkyのバージョンアップを検討し、最新のセキュリティ修正が適用されたバージョンへの移行を計画してください。
一時的な緩和策
- dinky Flink Proxy Controllerへのアクセスを信頼できるネットワークに限定するなど、ネットワークレベルでのアクセス制限を検討してください。
- WAF(Web Application Firewall)などを導入している場合、SSRF攻撃パターンに対する検出・防御ルールを強化することを検討してください。
確認方法
現在利用しているDataLinkDC dinkyのバージョンが1.2.5以下であるかを確認してください。
参考情報
- CVEfeed.io: https://cvefeed.io/vuln/detail/CVE-2026-3052