製品・ソフトウェアに関する情報
Vulnerability Search
KubeV2VのMigration assessmentにおけるユーザ制御の鍵による認証回避に関する脆弱性
Title KubeV2VのMigration assessmentにおけるユーザ制御の鍵による認証回避に関する脆弱性
Summary

migration-plannerに脆弱性が発見されました。agent-APIミドルウェアは認証のためにJSON Web Tokens(JWT)を処理しますが、そのUpdateSourceInventoryおよびUpdateAgentStatusハンドラは、これらのトークン内のsource_idクレームを要求されたソースIDと照合して検証することに失敗しています。この見落としにより、有効なエージェントトークンを持つ認証済み攻撃者が異なるテナント間でデータを操作できるようになり、テナントの分離が完全に崩壊します。これにより、被害者のインベントリが不正に上書きされたり、悪意のある認証情報URLが埋め込まれたり、マイグレーション評価が破損したりする可能性があります。

Possible impacts ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 10, 2026, midnight
Registration Date June 22, 2026, 11:48 a.m.
Last Update June 22, 2026, 11:48 a.m.
CVSS3.0 : 重要
Score 7.7
Vector CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N
Affected System
KubeV2V
Migration assessment 0.13.5 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年06月22日]
  掲載		 June 22, 2026, 11:48 a.m.
NVD Vulnerability Information
CVE-2026-53471
Summary

A flaw was found in migration-planner. The agent-API middleware processes JSON Web Tokens (JWTs) for authentication, but its UpdateSourceInventory and UpdateAgentStatus handlers fail to validate the source_id claim within these tokens against the requested source ID. This oversight allows an authenticated attacker with a valid agent token to manipulate data across different tenants, leading to a complete collapse of tenant isolation. This could result in unauthorized overwriting of victim inventory, planting of malicious credential URLs, or corruption of migration assessments.

Publication Date June 11, 2026, 12:16 a.m.
Registration Date June 11, 2026, 4:17 a.m.
Last Update June 11, 2026, 1:17 a.m.
Related information, measures and tools
Common Vulnerabilities List