| タイトル | WSO2のWSO2 Identity Serverにおける不正な認証に関する脆弱性 |
|---|---|
| 概要 | 認証時にユーザーアカウントの状態を十分に検証していないため、ロックされたユーザーアカウントがMagic LinkまたはPass Keyの方法で正常に認証される可能性があります。これは、ロックされたアカウントへのアクセスを防止するはずのセキュリティ制御が意図せず回避されている状態です。この脆弱性により、アカウントロック機構によって制限されるべきアカウントに関連するアプリケーションや機密データへの不正アクセスが許される可能性があります。また、追加のログイン試行を防止するためのアカウントロック機能の有効性も損なわれます。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアの一部が停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月11日0:00 |
| 登録日 | 2026年5月29日11:18 |
| 最終更新日 | 2026年5月29日11:18 |
| CVSS3.0 : 重要 | |
| スコア | 7.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
| WSO2 |
| WSO2 Identity Server 6.0.0 以上 6.0.0.249 未満 |
| WSO2 Identity Server 6.1.0 以上 6.1.0.248 未満 |
| WSO2 Identity Server 7.0.0 以上 7.0.0.124 未満 |
| WSO2 Identity Server 7.1.0 以上 7.1.0.31 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月29日] 掲載 |
2026年5月29日11:18 |
| 概要 | Due to a lack of user account state validation during authentication, locked user accounts can be successfully authenticated using Magic Link or Pass Key methods. This bypasses the intended security control that should prevent access to accounts that have been locked. This vulnerability may allow unauthorized access to applications and sensitive data associated with accounts that should have been restricted via the account lock mechanism. It also undermines the effectiveness of the account lock mechanism intended to prevent further login attempts. |
|---|---|
| 公表日 | 2026年5月11日19:16 |
| 登録日 | 2026年5月12日4:13 |
| 最終更新日 | 2026年5月14日0:25 |