概要
skvadrik re2cのバージョン4.4以前に、NULLポインタデリファレンス(CVE-2026-2903)の脆弱性が報告されています。この脆弱性は、src/parse/ast.ccファイル内のcheck_and_merge_special_rules関数に起因するとされています。攻撃が成功した場合、システムがクラッシュするなどのサービス拒否(DoS)状態に陥る可能性があります。本脆弱性の深刻度は「MEDIUM」(CVSSv3スコア4.8)と評価されています。
影響範囲
以下の環境が影響を受ける可能性があります。
skvadrik re2cバージョン4.4以前を使用しているシステム
具体的には、src/parse/ast.ccファイル内のcheck_and_merge_special_rules関数が関係しています。
想定される影響
NULLポインタデリファレンスにより、対象のアプリケーションやシステムが異常終了したり、クラッシュしたりする可能性があります。これにより、サービスが一時的に利用できなくなるサービス拒否(DoS)状態に陥る恐れがあります。情報漏洩や権限昇格に直接つながるものではないとされていますが、システムの安定性に影響を与える可能性があります。
攻撃成立条件・悪用状況
この脆弱性は、ローカル環境でのみ悪用が可能であると報告されています。つまり、攻撃者は対象システムへのローカルアクセス権を持っている必要があります。既にエクスプロイトコードが公開されており、悪用される危険性があるため、注意が必要です。
推奨対策
最優先で実施すべき対策
- 開発元から提供されているパッチ(パッチ名:
febeb977936f9519a25d9fbd10ff8256358cdb97)を速やかに適用してください。 skvadrik re2cを最新の修正済みバージョンにアップデートすることを強く推奨します。
一時的な緩和策
- ローカルからの攻撃に限定されるため、システムへの不必要なローカルアクセスを制限し、厳格なアクセス制御を実施することが重要です。
- 信頼できないユーザーからのアクセスを制限し、最小権限の原則を徹底してください。
確認方法
- ご自身のシステムで使用している
skvadrik re2cのバージョンを確認し、バージョン4.4以前である場合は影響を受ける可能性があります。 src/parse/ast.ccファイルが修正済みパッチに含まれるかどうかを確認することも有効です。
参考情報
- CVE-2026-2903 詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-2903