レッドハットのQuayにおけるセッション期限に関する脆弱性
| Title |
レッドハットのQuayにおけるセッション期限に関する脆弱性
|
| Summary |
Red Hat Quayに脆弱性が発見されました。この脆弱性により、Red Hat Quayがトークン生成やロボットアカウント作成などの機密操作に対してパスワード再認証を要求する際に、その再認証プロンプトを回避できてしまいます。これによって、セッションがタイムアウトしたユーザーや認証済みのアイドル状態のブラウザセッションにアクセスできる攻撃者が、有効な認証情報を提供せずに特権操作を実行できます。この脆弱性は、ユーザーインターフェースに無効な認証情報のエラーが表示されていても、機密操作の不正実行を可能にします。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 22, 2026, midnight |
| Registration Date |
May 22, 2026, 10:52 a.m. |
| Last Update |
May 22, 2026, 10:52 a.m. |
|
CVSS3.0 : 重要
|
| Score |
8.1
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Affected System
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年05月22日]
掲載 |
May 22, 2026, 10:52 a.m. |
NVD Vulnerability Information
CVE-2026-6848
| Summary |
A flaw was found in Red Hat Quay. When Red Hat Quay requests password re-verification for sensitive operations, such as token generation or robot account creation, the re-authentication prompt can be bypassed. This allows a user with a timed-out session, or an attacker with access to an idle authenticated browser session, to perform privileged actions without providing valid credentials. The vulnerability enables unauthorized execution of sensitive operations despite the user interface displaying an error for invalid credentials.
|
| Publication Date |
April 22, 2026, 7:16 p.m. |
| Registration Date |
April 25, 2026, 4:05 a.m. |
| Last Update |
April 23, 2026, 6:23 a.m. |
Related information, measures and tools
Common Vulnerabilities List