CVE-2026-29198

Critical(9.8)

CVE-2026-29198 — Rocket.Chat NoSQLインジェクションによるアカウント乗っ取り

公開日: 2026-05-15データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Rocket.Chat	Rocket.Chat	< 8.3.0, < 8.2.1, < 8.1.2, < 8.0.3, < 7.13.5, < 7.12.6, < 7.11.6, < 7.10.9

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

1Rocket.Chatのバージョンを確認する
2影響バージョンの場合、最新パッチへアップデートする
3OAuthアプリケーションの設定状況を確認する

影響対象

Rocket.Chat利用者（特にOAuth連携環境）

補足

-OAuth連携を使用している環境は特に優先度が高いです

CVERocket.ChatNoSQLインジェクションアカウント乗っ取り

概要

Rocket.Chatにおいて、OAuthアプリケーションが設定されている環境でNoSQLインジェクションの脆弱性が存在します。この脆弱性を悪用すると、生成されたトークンを持つ最初のユーザーのアカウントを乗っ取ることが可能です。

Rocket.Chatは企業向けに広く利用されているオープンソースのチャットプラットフォームであり、OAuthを利用した認証連携を行っている環境は影響を受ける可能性があります。

CVSSベクトル

項目	値
CVSSスコア	9.8（Critical）
CWE	CWE-89（インジェクション）
攻撃元区分（AV）	ネットワーク
攻撃条件の複雑さ（AC）	低
必要な特権レベル（PR）	不要
ユーザー関与（UI）	不要
機密性への影響（C）	高
完全性への影響（I）	高
可用性への影響（A）	高

影響を受けるソフトウェア

Rocket.Chat: 以下のバージョンが影響を受けます
- < 8.3.0
- < 8.2.1
- < 8.1.2
- < 8.0.3
- < 7.13.5
- < 7.12.6
- < 7.11.6
- < 7.10.9

修正バージョンと回避策

各メジャー/マイナーブランチの最新パッチバージョンへアップデートしてください
OAuthアプリケーションを設定していない環境は影響が限定的ですが、アップデートを推奨します

関連リンク

NVD
修正PR

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-29198

GitHub:https://github.com/RocketChat/Rocket.Chat/pull/39492

Xでシェアはてブ

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。