JVNDB-2026-011663 | |
ORYのKetoにおけるSQL インジェクションの脆弱性 | |
| 概要 | |
Ory Ketoは大規模な権限管理のためのオープンソース認可サーバーです。バージョン26.2.0より前のOry Ketoには、GetRelationships APIのページネーション実装に欠陥があり、SQLインジェクションの脆弱性が存在します。ページネーショントークンは`secrets.pagination`で設定された秘密鍵を使用して暗号化されます。この秘密鍵を知っている攻撃者は、SQLインジェクションを引き起こす悪意のあるトークンを含む独自のトークンを作成できます。この設定値が設定されていない場合、Ketoは組み込みのデフォルトのページネーション暗号化秘密鍵にフォールバックします。このデフォルト値は公開されているため、攻撃者は設定されていない環境で有効かつ悪意のあるページネーショントークンを手動で生成できます。この問題は、GetRelationships APIに攻撃者が直接または間接的にアクセスでき、攻撃者が生のページネーショントークンを問題のAPIに渡し、`secrets.pagination`の設定値が設定されていないか攻撃者に知られている場合に悪用されます。攻撃者は偽造されたページネーショントークンを通じて任意のSQLクエリを実行できます。第一の防御策として、暗号学的に安全なランダムな秘密鍵を生成し、すぐに`secrets.pagination`のカスタム値を設定してください。次に、できるだけ早くKetoを修正版の26.2.0以降にアップグレードしてください。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 7.2 (重要) [その他]
| |
| 影響を受けるシステム | |
|
| |
ORY | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 | |
| 対策 | |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
GitHub | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/03/26 |
| 登録日 | 2026/04/20 |
| 最終更新日 | 2026/04/20 |
