NhostのNhost/authにおける認証に関する脆弱性
| Title |
NhostのNhost/authにおける認証に関する脆弱性
|
| Summary |
NhostはGraphQLを備えたオープンソースのFirebase代替サービスです。バージョン0.49.1以前のNhostは、OAuthの提供元がメールアドレスを確認済みである場合に限り、受信したOAuthのIDを既存のNhostアカウントに自動的にリンクしていました。Nhostのコントローラーは、各プロバイダアダプターによって設定されるprofile.EmailVerifiedというブール値を信頼しています。この脆弱性は、複数のプロバイダアダプターがこのフィールドを正しく設定していないことに起因します。具体的には、DiscordではプロバイダAPIが実際に返すverifiedフィールドを静かに無視し、Bitbucketでは確認されていないメールアドレスを受け入れて確認済みとマークすることがあります。さらに、Microsoftの2つのプロバイダ(AzureAD、EntraID)は、ユーザープリンシパル名のような所有権を証明しないフィールドからメールアドレスを導出し、それを確認済みとして扱います。その結果、攻撃者は所有していないメールアドレスをNhostに提示し、OAuthのIDを被害者のアカウントにマージさせ、完全に認証されたセッションを取得できてしまいます。この問題はバージョン0.49.1で修正されています。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
May 8, 2026, midnight |
| Registration Date |
May 15, 2026, 11 a.m. |
| Last Update |
May 15, 2026, 11 a.m. |
|
CVSS3.0 : 緊急
|
| Score |
9.8
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Affected System
| Nhost |
|
Nhost/auth 0.49.1 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年05月15日]
掲載 |
May 15, 2026, 11 a.m. |
NVD Vulnerability Information
CVE-2026-41574
| Summary |
Nhost is an open source Firebase alternative with GraphQL. Prior to version 0.49.1, Nhost automatically links an incoming OAuth identity to an existing Nhost account when the email addresses match. This is only safe when the email has been verified by the OAuth provider. Nhost's controller trusts a profile.EmailVerified boolean that is set by each provider adapter. The vulnerability is that several provider adapters do not correctly populate this field they either silently drop a verified field the provider API actually returns (Discord), or they fall back to accepting unconfirmed emails and marking them as verified (Bitbucket). Two Microsoft providers (AzureAD, EntraID) derive the email from non-ownership-proving fields like the user principal name, then mark it verified. The result is that an attacker can present an email they don't own to Nhost, have the OAuth identity merged into the victim's account, and receive a full authenticated session. This issue has been patched in version 0.49.1.
|
| Publication Date |
May 9, 2026, 12:16 a.m. |
| Registration Date |
May 9, 2026, 4:13 a.m. |
| Last Update |
May 14, 2026, 2:46 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:nhost:nhost\/auth:*:*:*:*:*:*:*:* |
|
|
|
0.49.1 |
Related information, measures and tools
Common Vulnerabilities List