製品・ソフトウェアに関する情報

JVN脆弱性詳細

greenpau/caddy-securityのログアウト処理により認証セッションが継続する問題による認証回避の脆弱性

Title	greenpau/caddy-securityのログアウト処理により認証セッションが継続する問題による認証回避の脆弱性
Summary	github.com/greenpau/caddy-security パッケージのすべてのバージョンには、ユーザーが「サインアウト」ボタンをクリックした際のセッション無効化処理が適切に行われないため、セッション有効期限が不十分となる脆弱性が存在します。ユーザーが /logout や /oauth2/google/logout へリクエストを送信した後も、セッションが有効のままとなります。その結果、攻撃者が本来ログアウトされているはずのアクティブなセッションにアクセスすると、ユーザーになりすまして不正な操作を行う可能性があります。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Feb. 17, 2024, midnight
Registration Date	Dec. 25, 2025, 5:18 p.m.
Last Update	Dec. 25, 2025, 5:18 p.m.

Affected System

authcrunch

caddy-security

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-21492	https://www.cve.org/CVERecord?id=CVE-2024-21492
National Vulnerability Database (NVD)
2	CVE-2024-21492	https://nvd.nist.gov/vuln/detail/CVE-2024-21492

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-613	https://cwe.mitre.org/data/definitions/613.html

ベンダー情報

No	Name	URL
Issues
1	Lack of User Session Invalidation on Logout Issue #272 greenpau/caddy-security	https://github.com/greenpau/caddy-security/issues/272
Synk Vulnerability Database
2	Insufficient Session Expiration in github.com/greenpau/caddy-security \| CVE-2024-21492 \| Snyk	https://security.snyk.io/vuln/SNYK-GOLANG-GITHUBCOMGREENPAUCADDYSECURITY-5920787
The Trail of Bits Blog
3	Security flaws in an SSO plugin for Caddy - The Trail of Bits Blog	https://blog.trailofbits.com/2023/09/18/security-flaws-in-an-sso-plugin-for-caddy/

Change Log

No	Changed Details	Date of change
1	[2025年12月25日] 掲載	Dec. 25, 2025, 5:18 p.m.

NVD Vulnerability Information

CVE-2024-21492

Summary	All versions of the package github.com/greenpau/caddy-security are vulnerable to Insufficient Session Expiration due to improper user session invalidation upon clicking the "Sign Out" button. User sessions remain valid even after requests are sent to /logout and /oauth2/google/logout. Attackers who gain access to an active but supposedly logged-out session can perform unauthorized actions on behalf of the user.
Publication Date	Feb. 17, 2024, 2:15 p.m.
Registration Date	Feb. 17, 2024, 4 p.m.
Last Update	Nov. 21, 2024, 5:54 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://blog.trailofbits.com/2023/09/18/security-flaws-in-an-sso-plugin-for-caddy/
2	https://blog.trailofbits.com/2023/09/18/security-flaws-in-an-sso-plugin-for-caddy/
3	https://github.com/greenpau/caddy-security/issues/272
4	https://github.com/greenpau/caddy-security/issues/272
5	https://security.snyk.io/vuln/SNYK-GOLANG-GITHUBCOMGREENPAUCADDYSECURITY-5920787
6	https://security.snyk.io/vuln/SNYK-GOLANG-GITHUBCOMGREENPAUCADDYSECURITY-5920787

Common Vulnerabilities List