| タイトル | WSO2のWSO2 Identity Server等の複数製品におけるリクエストに対するレスポンス内容の違いに起因する情報漏えいに関する脆弱性 |
|---|---|
| 概要 | メールOTPフロー内でユーザーアカウントのロック状態を確認する機能がユーザー入力の検証に失敗し、攻撃者が登録済みユーザーアカウントの存在を推測できるようになっています。有効なユーザー名を見つけることで、ブルートフォース攻撃やソーシャルエンジニアリング攻撃のリスクが高まります。攻撃者はこの情報を利用してターゲットを絞ったフィッシングキャンペーンやその他の悪意ある活動を行い、ユーザーから機密情報を引き出そうとします。その結果、組織の評判が損なわれ、規制違反や財務的な影響が生じる恐れがあります。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月11日0:00 |
| 登録日 | 2026年5月29日11:19 |
| 最終更新日 | 2026年5月29日11:19 |
| CVSS3.0 : 警告 | |
| スコア | 4.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
| WSO2 |
| Identity Server as Key Manager 5.10.0 以上 5.10.267 未満 |
| WSO2 Identity Server 5.10.0 以上 5.10.0.379 未満 |
| WSO2 Identity Server 5.11.0 以上 5.11.0.426 未満 |
| WSO2 Identity Server 6.0.0 以上 6.0.0.253 未満 |
| WSO2 Identity Server 6.1.0 以上 6.1.0.254 未満 |
| WSO2 Identity Server 7.0.0 以上 7.0.0.131 未満 |
| WSO2 Open Banking IAM 2.0.0 以上 2.0.0.318 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月29日] 掲載 |
2026年5月29日11:19 |
| 概要 | The check user account lock states feature within the email OTP flow fails to validate user input, allowing an attacker to infer the existence of registered user accounts. The discovery of valid usernames can increase the risk of brute-force and social engineering attacks. Attackers can leverage this information to craft targeted phishing campaigns or other malicious activities aimed at tricking users into divulging sensitive data, potentially damaging the organization's reputation and leading to regulatory non-compliance and financial consequences. |
|---|---|
| 公表日 | 2026年5月11日19:16 |
| 登録日 | 2026年5月12日4:13 |
| 最終更新日 | 2026年5月14日0:25 |