つみかさね

CVE-2026-30831

Critical(9.8)

CVE-2026-30831 — Rocket.Chat 2FA/アカウント無効化バイパス

公開日: 2026-03-14データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Rocket.ChatRocket.Chat Technologies< 7.10.8 / < 7.11.5 / < 7.12.5 / < 7.13.4 / < 8.0.2 / < 8.1.1 / < 8.2.0
CVERocket.Chat認証バイパス2FA

概要

Rocket.Chat は オープンソース の コミュニケーション プラットフォーム です。エンタープライズ DDP Streamer サービス の Account.login メソッド に 認証 脆弱性 が 存在 します。

標準 の Meteor ログイン フロー で 必須 と される 二要素 認証(2FA)の 強制 や ユーザー アカウント ステータス(無効化 された ユーザー)の 検証 が、DDP Streamer 経由 では 行われません。これ に より、2FA を 完全 に バイパス し、無効化 された アカウント でも ログイン が 可能 です。

CVSS ベクトル

項目
CVSSスコア9.8 (Critical)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要
ユーザー関与不要
CWECWE-287 (不適切な認証), CWE-304

影響を受けるソフトウェア

製品修正バージョン
Rocket.Chat7.10.8 / 7.11.5 / 7.12.5 / 7.13.4 / 8.0.2 / 8.1.1 / 8.2.0

修正バージョンと回避策

  • 修正バージョン: 利用中 の メジャー バージョン に 対応 する パッチ を 適用
  • 回避策: DDP Streamer の エンドポイント へ の アクセス を 制限 する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-30831
GHSA:https://github.com/RocketChat/Rocket.Chat/security/advisories/GHSA-7qr6-q62g-hm63
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。