| タイトル | WSO2のWSO2 Identity Serverにおける複数の脆弱性 |
|---|---|
| 概要 | 適応認証フローを実行する際に組織コンテキストの検証を行わないため、WSO2 Identity Serverは意図しない組織で適応認証ロジックをトリガーすることを許可してしまいます。一つの組織内で適応認証の設定権限を持つ悪意ある攻撃者は、この機能を悪用して他の組織およびサブ組織で認証ロジックを実行できます。この脆弱性により組織間の認可境界が回避され、他組織の重要な操作やユーザーアカウントへの不正アクセスが引き起こされます。マルチ組織展開において適応認証が有効になっている場合、一つの組織で適応認証の設定権限を持つ悪意ある攻撃者がこの機能を悪用し、他の組織で権限のない重要な操作を実行する可能性があります。これにより権限昇格、不正なリソースアクセス、および組織を越えたアカウント乗っ取りのリスクが生じます。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月11日0:00 |
| 登録日 | 2026年5月29日11:18 |
| 最終更新日 | 2026年5月29日11:18 |
| CVSS3.0 : 重要 | |
| スコア | 7.2 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| WSO2 |
| WSO2 Identity Server 7.1.0 以上 7.1.0.26 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月29日] 掲載 |
2026年5月29日11:18 |
| 概要 | Due to not validating the organization context when executing adaptive authentication flows, the WSO2 Identity Server allows adaptive authentication logic to be triggered on unintended organizations. A malicious actor with privileges to configure adaptive authentication within one organization can leverage this functionality to execute authentication logic on other organizations and sub-organizations. This flaw allows bypassing authorization boundaries between organizations, leading to unauthorized access to critical operations and user accounts in other organizations. When adaptive authentication is enabled in a multi-organization deployment, a malicious actor with privileges to configure adaptive authentication in one organization could exploit this feature to perform critical operations in other organizations without authorization. This may result in privilege escalation, unauthorized access to resources, and potential account takeover across organizations. |
|---|---|
| 公表日 | 2026年5月11日21:16 |
| 登録日 | 2026年5月12日4:13 |
| 最終更新日 | 2026年5月14日0:25 |