| タイトル | FastAPI GuardにおけるX-Forwarded-Forヘッダー処理の不備により偽装が可能となる脆弱性 |
|---|---|
| 概要 | FastAPI Guardは、IP制御、リクエストのログ記録、侵入試行の検出を提供するFastAPI向けのセキュリティライブラリです。バージョン2.0.0未満において、HTTPヘッダーインジェクションの脆弱性が確認されています。攻撃者がX-Forwarded-Forヘッダーを操作することで、リクエストに任意のIPアドレスを挿入できる可能性があります。この脆弱性により、攻撃者はIPベースのアクセス制御を回避したり、ログシステムを誤誘導したり、信頼されたクライアントになりすましたりすることが可能です。特に、アプリケーションがX-Forwarded-Forヘッダーを用いたIPベースの認可や認証に依存している場合は、影響が大きくなります。ユーザーには、修正が含まれるFastAPI Guardバージョン2.0.0へのアップグレードを推奨します。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2025年5月6日0:00 |
| 登録日 | 2026年1月6日12:06 |
| 最終更新日 | 2026年1月6日12:06 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
| FastAPI Guard |
| FastAPI Guard 2.0.0 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年01月06日] 掲載 |
2026年1月6日12:06 |
| 概要 | FastAPI Guard is a security library for FastAPI that provides middleware to control IPs, log requests, and detect penetration attempts. An HTTP header injection vulnerability has been identified in versions prior to 2.0.0. By manipulating the X-Forwarded-For header, an attacker can potentially inject arbitrary IP addresses into the request. This vulnerability can allow attackers to bypass IP-based access controls, mislead logging systems, and impersonate trusted clients. It is especially impactful when the application relies on the X-Forwarded-For header for IP-based authorization or authentication. Users should upgrade to FastAPI Guard version 2.0.0 to receive a fix. |
|---|---|
| 公表日 | 2025年5月7日0:16 |
| 登録日 | 2025年5月7日4:00 |
| 最終更新日 | 2025年5月7日0:16 |