つみかさね

CVE-2026-27962

Critical(9.1)

AuthlibのJWKヘッダーインジェクション CVE-2026-27962:影響範囲と対応方法

公開日: 2026-07-02データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
authlibAuthlib Project< 1.6.9

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1pip show authlib | grep Version でバージョンを確認する
  2. 21.6.9 未満の場合は対応が必要
  3. 3pip install --upgrade authlib で最新版(1.6.9以降)へアップデート
  4. 4JWS デシリアライズで key=None を渡している箇所をコードレビューで確認・修正

影響対象

authlib を使ったOAuth/OIDCサーバー実装

補足

  • -CVE-2026-28802(alg:none バイパス)も同時期に報告されているため、両方の修正が含まれる最新版への更新を推奨します
  • -key=None を使用していない実装でも、ライブラリの更新を推奨します
CVEAuthlibJWTJWKOAuth認証バイパス

30秒で判断

対応すべき人:

  • Python ライブラリ authlib のバージョン 1.6.9 未満を使用中
  • かつ JWS デシリアライズ関数に key=None を渡している実装がある

対応不要な人:

  • authlib 1.6.9 以降を使用中
  • authlib を使用していない
  • JWS デシリアライズ時に常に明示的なキーオブジェクトを渡している

確認コマンド:

pip show authlib | grep Version

# key=None を渡しているコードを確認
grep -r "key=None" your_project/

概要

Python OAuth/OpenID Connect ライブラリ Authlib の JWS 実装に JWK ヘッダーインジェクション脆弱性が報告されました(CVE-2026-27962、CVSS 9.1)。

JWS のデシリアライズ関数に key=None を渡した場合、ライブラリは攻撃者が制御するJWTの jwk ヘッダーフィールドからクリプトグラフィックキーを抽出・使用してしまいます。攻撃者は自身の秘密鍵でトークンに署名し、対応する公開鍵をJWTヘッダーに埋め込むことで、サーバーがそのトークンを「正当に署名された」ものとして受理するようになります。

これにより認証・認可をバイパスした任意のJWTトークンの偽造が可能となります。

なお、同じAuthlib絡みの脆弱性として CVE-2026-28802(alg:none バイパス、CVSS 9.8)も同時期に報告されています。両方の修正版を適用することを推奨します。

CVSSベクトル

属性
Attack VectorNetwork(ネットワーク)
Attack ComplexityLow
Privileges RequiredNone(認証不要)
User InteractionNone
ScopeUnchanged
ConfidentialityHigh
IntegrityHigh
AvailabilityNone

影響を受けるソフトウェア

製品影響バージョン修正バージョン
authlib (PyPI)< 1.6.91.6.9

修正バージョンと回避策

推奨: 1.6.9 へのアップデート

pip install --upgrade authlib
# バージョン確認
pip show authlib | grep Version

コードレベルの回避策

JWS デシリアライズ時に key=None を渡さず、常に明示的なキーオブジェクトを渡すように実装を変更することで影響を軽減できます:

# NG: key=None を渡すケース
JsonWebSignature().deserialize_compact(token, key=None)

# OK: 明示的なキーを渡す
JsonWebSignature().deserialize_compact(token, public_key)

関連リンク


データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。