| Title | WSO2のWSO2 Identity Serverにおける不正な認証に関する脆弱性 |
|---|---|
| Summary | 認証時にユーザーアカウントの状態を十分に検証していないため、ロックされたユーザーアカウントがMagic LinkまたはPass Keyの方法で正常に認証される可能性があります。これは、ロックされたアカウントへのアクセスを防止するはずのセキュリティ制御が意図せず回避されている状態です。この脆弱性により、アカウントロック機構によって制限されるべきアカウントに関連するアプリケーションや機密データへの不正アクセスが許される可能性があります。また、追加のログイン試行を防止するためのアカウントロック機能の有効性も損なわれます。 |
| Possible impacts | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアの一部が停止する可能性があります。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 11, 2026, midnight |
| Registration Date | May 29, 2026, 11:18 a.m. |
| Last Update | May 29, 2026, 11:18 a.m. |
| CVSS3.0 : 重要 | |
| Score | 7.3 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
| WSO2 |
| WSO2 Identity Server 6.0.0 以上 6.0.0.249 未満 |
| WSO2 Identity Server 6.1.0 以上 6.1.0.248 未満 |
| WSO2 Identity Server 7.0.0 以上 7.0.0.124 未満 |
| WSO2 Identity Server 7.1.0 以上 7.1.0.31 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月29日] 掲載 |
May 29, 2026, 11:18 a.m. |
| Summary | Due to a lack of user account state validation during authentication, locked user accounts can be successfully authenticated using Magic Link or Pass Key methods. This bypasses the intended security control that should prevent access to accounts that have been locked. This vulnerability may allow unauthorized access to applications and sensitive data associated with accounts that should have been restricted via the account lock mechanism. It also undermines the effectiveness of the account lock mechanism intended to prevent further login attempts. |
|---|---|
| Publication Date | May 11, 2026, 7:16 p.m. |
| Registration Date | May 12, 2026, 4:13 a.m. |
| Last Update | May 14, 2026, 12:25 a.m. |