O projeto Fluentd lançou a versão 1.19.3 para corrigir quatro vulnerabilidades de segurança que afetam todas as releases anteriores, incluindo uma falha de execução remota de código com CVSS 9.8 (CVE-2026-44024). As outras três flaws cobrem server-side request forgery, exposição de credenciais e negação de serviço. Todas podem ser exploradas sem autenticação quando o Fluentd ingere logs de fontes não confiáveis, colocando em risco pipelines de observabilidade inteiras.

RCE por path traversal

A vulnerabilidade mais grave, CVE-2026-44024, reside no mecanismo que constrói caminhos de arquivo a partir da variável de tag nos plugins de saída como out_file. A validação insuficiente permite que um atacante injete sequências de path traversal (por exemplo, ../) por meio de tags maliciosas inseridas em entradas de log. O atacante controla o conteúdo da tag enviada para o nó Fluentd e, ao explorar a expansão automática dessa variável no caminho de destino, consegue escrever arquivos arbitrários no sistema de arquivos do servidor.

A escrita arbitrária de arquivos pode ser escalada para execução remota de código pela sobrescrita de arquivos de configuração do sistema, injeção de plugins executáveis no diretório de extensões do Fluentd ou manipulação de scripts de inicialização. O impacto depende dos privilégios do processo Fluentd e da configuração da instalação. Não é necessária autenticação para explorar a falha, segundo o advisory detalhado pelo SecurityOnline.

SSRF, vazamento e DoS

CVE-2026-44161 afeta o plugin out_http, que expande variáveis dinâmicas no parâmetro de endpoint. Quando essa variável provém de entrada não confiável, o atacante controla o hostname de destino e pode direcionar requisições para serviços internos da rede, conforme analisado pela Cyber Press. Como o plugin emite apenas requisições POST e PUT, a extração direta de metadados de nuvem por meio de requisições GET ao AWS IMDS não é viável, mas o acesso a APIs internas e microserviços permanece factível.

CVE-2026-44025 (CVSS 7.5) expõe variáveis internas de instância de plugins por meio da API REST do in_monitor_agent na porta 24220. O endpoint /api/plugins.json retorna inadvertidamente variáveis de instância carregadas, que podem conter senhas de banco de dados, chaves de API, tokens de autenticação e credenciais de nuvem armazenadas em texto puro. Qualquer pessoa com acesso de rede à porta de monitoração pode ler essas credenciais sem autenticação adicional.

CVE-2026-44160 explora os plugins in_http e in_forward, que impõem limites de tamanho sobre a carga comprimida recebida, mas não sobre o resultado da descompressão. Um payload gzip malicioso de poucos kilobytes pode expandir para gigabytes quando descomprimido na memória do processo Fluentd, provocando um evento de OOM kill pelo sistema operacional. A interrupção do serviço de coleta afeta todos os downstream conectados ao nó comprometido.

Quatro falhas corrigidas

CVE Tipo CVSS Componente afetado
CVE-2026-44024 Path Traversal / RCE 9.8 Variável de tag em plugins de saída
CVE-2026-44025 Exposição de credenciais 7.5 in_monitor_agent API (porta 24220)
CVE-2026-44160 Negação de serviço 7.5 in_http, in_forward (descompressão gzip)
CVE-2026-44161 SSRF 8.1 out_http endpoint parameter

Posição do Fluentd na infraestrutura

Fluentd é um coletor de dados open-source mantido pela Cloud Native Computing Foundation (CNCF) e utilizado como camada central de logging em milhares de stacks de produção em todo o mundo. A ferramenta roteia eventos de log entre servidores, plataformas em nuvem e repositórios de dados, frequentemente operando com credenciais de serviço e acesso a endpoints de metadados de infraestrutura. Essa posição privilegiada na pipeline de observabilidade amplia significativamente o raio de impacto de qualquer vulnerabilidade — um único nó comprometido pode expor credenciais de múltiplos serviços downstream e servir como pivô para movimento lateral dentro da rede.

Releases anteriores à 1.19.3 e Fluent Package anterior à v6.0.4 são afetadas. Até o momento, não há registro de exploração ativa na natureza nem proof-of-concept público divulgado, segundo os advisories oficiais do projeto no GitHub. A ausência de PoC não reduz a urgência do patch — a gravidade combinada das quatro flaws e a ubiquidade do Fluentd em ambientes cloud-native tornam a exploração provável em curto prazo por parte de atacantes que monitoram releases de segurança.

O que fazer agora

Atualize para Fluentd v1.19.3 ou Fluent Package v6.0.4 imediatamente. Enquanto o patch não for aplicado, restrinja o acesso de rede às portas padrão do Fluentd — 24224 (forwarding), 24220 (monitoração) e 9880 (HTTP input) — exclusivamente a redes confiáveis. Execute o serviço com um usuário sem privilégios de root para limitar o alcance da escrita arbitrária de arquivos explorada pelo CVE-2026-44024.

Vincule o Monitor Agent exclusivamente ao localhost e não exponha a porta 24220 em interfaces de rede externas. Evite utilizar variáveis dinâmicas de tag com fontes de entrada não confiáveis em configurações de path de saída. Posicione um proxy reverso frente ao endpoint HTTP de entrada para limitar o tamanho de payloads descomprimidos. Equipes de segurança devem auditar configurações dos plugins fluent-plugin-s3 e fluent-plugin-opentelemetry, que receberam correções relacionadas em suas próprias releases e podem estar vulneráveis mesmo com o Fluentd atualizado.

Referências