| タイトル | Apache Software FoundationのApache CXFにおける代替名による認証回避に関する脆弱性 |
|---|---|
| 概要 | Apache CXF の JwtAccessTokenValidator クラスは、受信した JWT アクセストークンの「aud」(Audience)クレームの検証に失敗します。これにより、1つのリソースサーバー向けに発行された JWT が、まったく異なるリソースサーバーに対しても正常に再利用される可能性があり、トークンの混同やルーティング攻撃を引き起こします。ユーザーは、この問題を修正したバージョン 4.2.2 または 4.1.7 へのアップグレードを推奨します。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月12日0:00 |
| 登録日 | 2026年6月16日13:35 |
| 最終更新日 | 2026年6月16日13:35 |
| CVSS3.0 : 緊急 | |
| スコア | 9.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
| Apache Software Foundation |
| Apache CXF 4.1.7 未満 |
| Apache CXF 4.2.0 以上 4.2.2 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月16日] 掲載 |
2026年6月16日13:35 |
| 概要 | The JwtAccessTokenValidator class in Apache CXF fails to validate the 'aud' (Audience) claims of incoming JWT access tokens. This allows a JWT issued for one Resource Server to be successfully replayed against a completely different Resource Server, leading to Token Confusion/Routing attacks. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fixes this issue. |
|---|---|
| 公表日 | 2026年6月12日19:16 |
| 登録日 | 2026年6月13日4:16 |
| 最終更新日 | 2026年6月16日3:07 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:apache:cxf:*:*:*:*:*:*:*:* | 4.1.7 | ||||
| cpe:2.3:a:apache:cxf:*:*:*:*:*:*:*:* | 4.2.0 | 4.2.2 | |||