| Title | MISP projectのMalware Information Sharing Platform (MISP)におけるセッションの固定化の脆弱性 |
|---|---|
| Summary | Azure Active Directory (AAD) の認証実装には、OAuth 2.0 認可フローにおいて複数の脆弱性が存在し、攻撃者がプロトコルによって提供される重要なセキュリティ保証を回避できる可能性がありました。アプリケーションは PHP のセッション識別子(session_id())を OAuth の state パラメータとして使用していました。セッション識別子は長期間有効な認証情報であるため、OAuth リダイレクト URL にこれが露出すると、ブラウザ履歴、HTTP Referer ヘッダー、リバースプロキシ、アクセスログ、あるいは認証フローに関与するサードパーティのインフラ経由で有効なセッショントークンが漏洩する恐れがあります。攻撃者にこれが取得された場合、漏洩したセッション識別子を使ってセッションハイジャックが行われる可能性があります。さらに、認証成功後にセッション識別子を再生成していなかったため、認証済みセッションはセッションフィクセーション攻撃に対して脆弱でした。攻撃者が被害者に既知のセッション識別子をログイン前に使わせ、認証後にそれを再利用できる状況が発生します。OAuth の state 値も専用の一回限りの nonce として実装されておらず、これにより CSRF 対策が弱まり、OAuth コールバックプロセスに対するリプレイ攻撃のリスクが高まっていました。また、認証フローでは設定された OAuth リダイレクト URI に HTTPS を強制しておらず、非 HTTPS のリダイレクト URI が使われた場合、OAuth 認可コードやアクセストークンが平文でネットワークを通過し、ネットワーク攻撃者に機密情報が露出する可能性がありました。最後に、OAuth エラー応答で攻撃者制御の GET パラメータがそのままログに記録され、攻撃者が制御文字や細工されたログ内容を注入することでログ偽造、ログインジェクション、監査記録の破損が引き起こされる恐れがありました。修正では、専用の暗号学的にランダムな OAuth state 値の導入、一回限りの状態検証および無効化、hash_equals() を用いた定数時間の状態比較、認証成功後のセッション識別子の回転、HTTPS のみを許可するリダイレクト URI の強制、OAuth エラーパラメータのサニタイズおよび長さ制限付きログ記録を行っています。これらは AAD 認証プラグイン (OAuth 2.0 / Azure Active Directory 統合) に関する問題を解決するための対策です。 |
| Possible impacts | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution | リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| Publication Date | June 22, 2026, midnight |
| Registration Date | June 29, 2026, 11:09 a.m. |
| Last Update | June 29, 2026, 11:09 a.m. |
| CVSS3.0 : 重要 | |
| Score | 8.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| MISP project |
| Malware Information Sharing Platform (MISP) 2.5.42 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月29日] 掲載 |
June 29, 2026, 11:09 a.m. |
| Summary | The Azure Active Directory (AAD) authentication implementation contained multiple weaknesses in its OAuth 2.0 authorization flow that could allow attackers to bypass important security guarantees provided by the protocol. The application used the PHP session identifier (session_id()) as the OAuth state parameter. Because session identifiers are long-lived authentication credentials, exposing them in OAuth redirect URLs could leak valid session tokens through browser history, HTTP Referer headers, reverse proxies, access logs, or third-party infrastructure involved in the authentication flow. If obtained by an attacker, the leaked session identifier could potentially be used for session hijacking. Additionally, the implementation did not regenerate the session identifier after successful authentication, leaving authenticated sessions susceptible to session fixation attacks where an attacker forces a victim to use a known session identifier before login and later reuses that identifier after authentication. The OAuth state value was also not implemented as a dedicated, single-use nonce. This weakened CSRF protections and increased the risk of replay attacks against the OAuth callback process. The authentication flow further failed to enforce HTTPS for the configured OAuth redirect URI. If a non-HTTPS redirect URI was used, OAuth authorization codes and access tokens could traverse the network in plaintext, exposing sensitive credentials to network attackers. Finally, OAuth error responses containing attacker-controlled GET parameters were logged verbatim. An attacker could inject control characters or crafted log content, leading to log forging, log injection, or corruption of audit records. The fix introduces: * * * * * * AAD Authentication Plugin (OAuth 2.0 / Azure Active Directory integration) |
|---|---|
| Publication Date | June 22, 2026, 11:17 p.m. |
| Registration Date | June 27, 2026, 4:09 a.m. |
| Last Update | June 27, 2026, 5:33 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:misp-project:misp:*:*:*:*:*:*:*:* | 2.5.42 | ||||