漏えいが絶えないCUPSの最新章として、セキュリティ研究者と、そのバグ探索エージェントの一団が、連鎖させることで認証なしの攻撃者がリモートでコードを実行し、ネットワーク上のルートのファイル上書きを達成できるようにする2つの欠陥を見つけた。

CUPS――一般にあまり知られてはいないが「Common Unix Printing System（共通UNIXプリンタリングシステム）」のこと――は、Linuxやその他のUNIX系システム上で印刷用のファイルを送信するための標準的な方法だ。プリンタに悪さをさせるのは面白いことに加え、Apple端末のOSおよび大半のLinuxディストリビューションにおけるデフォルトの印刷システムであるため、CUPSのセキュリティ上の欠陥は被害範囲が広がりやすい。そうした理由から、セキュリティ研究者にとっての好ターゲットでもある。

Asim Viladi Oglu Manizadaと、そのチームの脆弱性ハンティング用エージェントは最近、CUPSに2つの問題（CVE-2026-34980およびCVE-2026-34990）を見つけた。そしてそのスペースXのセキュリティエンジニアは、ソフトウェア開発者Simone Margaritelliの2024年の複数のCUPS脆弱性を連鎖させて不正なリモートコード実行（RCE）を実現するための研究に触発されたと語った。

この2つの新たな脆弱性はCUPS 2.4.16に影響する。オープンソースのプリントシステムに対するパッチ版はまだ用意されていないものの、2つの問題それぞれに対する修正を含む公開コミットが存在する。 

返却形式: {"translated": "翻訳されたHTML"}

CVE-2026-34980 は、CUPS サーバーがネットワーク経由で到達可能であり、共有の PostScript キューを公開している必要があります。この設定により、ネットワーク上の他のコンピュータがプリンタへの共有アクセスを利用できるため、ビジネス環境で使われる可能性がより高くなります。 

Manizada が 日曜の分析で「これは意図的な設定の選択であり、たとえば企業環境におけるネットワーク接続された印刷サーバーなら現実的だが、デスクトップ用では現実的ではない（何らかの理由でリモート印刷サーバーとしてセットアップしているのでない限り）」と述べていました。

しかし、それらの前提条件が満たされていれば、CVE-2026-34980 は認証なしの攻撃者によって、共有 PostScript キューに印刷ジョブを投入され、lp としてリモートコード実行を達成され得ます。

その後、CVE-2026-34990 と連鎖させることができます。これはデフォルトの CUPS 設定で動作する認可上の欠陥であり、低権限アカウントによる当該キューへの印刷によってルートのファイル上書きを達成できるようにします。 

Manizada は The Register に対し、これらの CVE に対してどれくらいのプリンタが脆弱なのかについて確たる数値は持っていないと述べ、また現時点までに自身が悪用の兆候を見たこともないそうです。さらに「とはいえ、メンテナが公開したアドバイザリには PoC が含まれており、LLM は今や記述（writeup）を PoC に素早く変換できるので、影響を受ける導入環境では、それが（悪用が）容易に行えると見込むのが自然だと思います」と付け加えました。

仕組み

最初の脆弱性である CVE-2026-34980 は、CUPS の デフォルトポリシーに由来します。このポリシーは無名（anonymous）の印刷ジョブ要求を受け付け、キューが共有されていない場合に限り、リモート印刷を ブロックします。「これにより、デフォルトでは認証レイヤなしで、共有キューに対する脱出（escaping）やパース（parsing）などの複雑な処理すべてを狙い撃ちできるようになります」と Manizada は書いています。

CUPS はまた 改行をバックスラッシュでプレフィックスする 一方、後段のパース処理でそのオプション文字列からバックスラッシュを取り除きます。つまり、攻撃者は改行の中にコードを埋め込むことができ、そのコードはオプションのエスケープと再パースの後にも生き残ることになります。 

さらに、CUPS は "PPD:" を信頼できる制御レコードとして扱うため、これを悪用してキュー設定を変更し、PPD に悪意あるエントリを注入したうえで、次に別の印刷ジョブを送って CUPS に攻撃者が選んだ既存のバイナリを実行させることができます。たとえば、lp として動作する Vim のテキストエディタです。

CUPS の作成者でありプロジェクトのメンテナである Michael Sweet が説明しているように、Vim テキストエディタをバイナリとして使う場合：

2 つ目の欠陥である CVE-2026-34990 は、ローカルの権限なしのユーザーによって悪用され、CUPS スケジューラデーモン（cupsd）に、再利用可能な Authorization: Local ... トークン付きで、攻撃者が制御するローカルホスト IPP サービスへ認証させるように仕向けることができます。 

「つまり、攻撃者は [ローカルホスト] に偽のプリンタを立ち上げて、それをトリガーに CUPS にセットアップさせられるわけです」と Manizada は述べました。

そのキューへの印刷は任意のルートファイルの上書きを可能にし、先のバグと連鎖させれば、認証なし・権限なしのリモート攻撃者によるネットワーク越しのルートファイル上書きが可能になります。

• このどん底危機的な Linux バグが破滅を招く：CUPS です。デバイスのリモート乗っ取りにつながる可能性
• AI はバグを見つけるのは得意だが、駆除するのはそれほどでもない
• AI のバグ報告は、ゴミから一夜で本物に変わった、と Linux カーネルの重鎮が語る
• Claude の攻撃は情報セキュリティ界隈への「ロールシャッハテスト」だった。元 NSA 所長を怖がらせた

Manizada によれば、そして ほかのいくつかの セキュリティ研究者 や 幹部 が指摘しているとおり、この一連の流れのより大きな全体像は、AI がコード内の脆弱性を見つけるのに非常に優れてきているということです。一方で、人間のメンテナ はパッチ適用についていくのに苦戦しています。   

「『リモート RCE を root まで、間違いなく見つけて』という一つのプロンプトで、鎖（チェーン）全体を思いつきで見つけられないかもしれません」と Manizada は書きました。「ただし、a) 何にでもよいのでリモートコード実行を探させ、b) 何か → 有用な root のプリミティブを満たすもの、というふうに仕事（タスク）を与えることで、エージェントが探索空間を大きく絞り込めて、消費するトークンもそれほど増えません。」®

More about

• AI
• オープンソース
• プリンター

これに近い話題