TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > アプリ: CUPS > CUPS Vulnerabilities Could Allow Remote Attackers to Achieve Root-Level Code Execution

CUPS Vulnerabilities Could Allow Remote Attackers to Achieve Root-Level Code Execution

アプリ: CUPS CVE-2026-34980 CVE-2026-34990

【要点】

◎CUPSで2件の脆弱性が見つかり、組み合わせることで認証不要のリモートコード実行からroot権限奪取まで至る恐れがある。公開設定の無効化が推奨される (gbhackers.)


【訳】

CUPSの脆弱性により、リモートの攻撃者がルート権限でのコード実行が可能になる恐れがある


【脆弱性内容】  (★: 本ブログ内のまとめ記事リンク)
公開日
登録日
CVE番号
NVD
ベンダー
CVSS v4
CVSS v3
CWE
脆弱性
KEV
備考
2026/04/03 2026/03/31 CVE-2026-34980 NVD OpenPrinting
6.1(GitHub)
 - CWE-20 不適切な入力確認 - cups
2026/04/03 2026/03/31 CVE-2026-34990 NVD OpenPrinting
5.0(GitHub)
 - CWE-287 不適切な認証 - cups


【要約】

LinuxやUnix系で広く使われる印刷システムCUPSに、リモートコード実行とローカル特権昇格につながる2件の脆弱性が発見された。共有PostScriptキューの解析不備を悪用すると、認証不要で印刷フィルターとして任意コードを実行でき、さらに別の欠陥を組み合わせればroot権限で重要ファイルを上書きできる。正式な修正版は未提供であり、管理者にはネットワーク公開の無効化や認証強化、AppArmorやSELinuxによる封じ込めが推奨されている。


【ニュース】

◆CUPS Vulnerabilities Could Allow Remote Attackers to Achieve Root-Level Code Execution (gbhackers., 2026/04/07)
[CUPSの脆弱性により、リモートの攻撃者がルート権限でのコード実行が可能になる恐れがある]
https://gbhackers.com/cups-vulnerabilities-root-level-code-execution/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022