JVNDB-2026-010404

ORYのOathkeeperにおける複数の脆弱性

ORY Oathkeeperは、Access Rulesのセットに基づいてHTTPリクエストの認可を行うIdentity & Access Proxy（IAP）およびアクセス制御決定APIです。バージョン26.2.0以前には、キャッシュキーの混同により認証がバイパスされる脆弱性が存在しました。`oauth2_introspection`認証器のキャッシュは、異なるイントロスペクションURLで検証されたトークンを区別しません。攻撃者は、正当に取得したトークンを使用してキャッシュを準備し、その後、同じトークンを異なるイントロスペクションサーバーを使用するルールに対して利用できます。Ory Oathkeeperは、異なるトークンを受け入れる複数の`oauth2_introspection`認証サーバーで構成されている必要があります。また、認証器はキャッシュを使用する設定にしている必要があります。攻撃者は、構成されたイントロスペクションサーバーの1つで有効なトークンを取得する方法を持っていなければなりません。バージョン26.2.0以降では、Ory OathkeeperはイントロスペクションサーバーのURLをキャッシュキーに含めることでトークンの混同を防止します。パッチ適用済みのOry Oathkeeperのバージョンに更新してください。すぐに更新が不可能な場合は、`oauth2_introspection`認証器のキャッシュを無効にしてください。

ORY

• Oathkeeper 26.2.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Authentication bypass by cache key confusion  Advisory  ory/oathkeeper  GitHub

1. 安全でない等式による入力の不適切な検証(CWE-1289) [その他]
2. 根本の脆弱性による認証回避(CWE-305) [その他]

1. CVE-2026-33496

1. National Vulnerability Database (NVD) : CVE-2026-33496
2. 関連文書 : fix: scope cache config key to introspection URL  ory/oathkeeper@198a2bc  GitHub

• [2026年04月09日]
    掲載