区分
JVN番号
タイトル
JVN
深刻度
深刻度
最終更新日
CVE番号
New
JVNDB-2026-012542
oauth2_proxy projectのoauth2_proxyにおけるスプーフィングによる認証回避に関する脆弱性
9.1
2026/04/24 11:44
CVE-2026-34457
JVNDB-2026-012542
oauth2_proxy projectのoauth2_proxyにおけるスプーフィングによる認証回避に関する脆弱性
- 概要
- OAuth2 ProxyはOAuth2プロバイダを使用して認証を提供するリバースプロキシです。バージョン7.15.2より前のバージョンには、OAuth2 Proxyがauth_requestスタイルの統合(nginx auth_requestなど)で使用され、かつ--ping-user-agentが設定されているか、または--gcp-healthchecksが有効になっているデプロイメントにおいて、設定に依存した認証回避の脆弱性が存在しました。影響を受ける構成では、OAuth2 Proxyは要求されたパスに関係なく、設定されたヘルスチェックのUser-Agent値を持つ任意のリクエストを成功したヘルスチェックとして扱います。そのため、認証されていない遠隔の攻撃者が認証を回避し、保護された上流リソースにアクセスできる可能性があります。auth_requestスタイルのサブリクエストを使用していない、または--ping-user-agent/--gcp-healthchecksを有効にしていないデプロイメントは影響を受けません。この問題はバージョン7.15.2で修正されました。
- 想定される影響と対策
- 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 - JVN情報 ※( )内はCVSS v2の値
-
深刻度 9.1CVECVE-2026-34457公表日2026/04/14 00:00登録日2026/04/24 11:44更新日2026/04/24 11:44
- CVSS v3情報
-
…
- 全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。
