CVE-2026-30836

Critical(10)

CVE-2026-30836 — Step CA 未認証での証明書発行

公開日: 2026-03-21データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
certificates (Step CA)	smallstep	< 0.30.0

CVEStep CA証明書SCEPDevOps

概要

Step CAはDevOps向けの自動証明書管理を提供するオンライン認証局です。バージョン0.30.0-rc6以前では、SCEP（Simple Certificate Enrollment Protocol）のUpdateReqに対する認証が不十分で、未認証で証明書を発行できる脆弱性が存在します。

CVSSベクトル

項目	値
CVSSスコア	10.0 (Critical)
CWE	CWE-287（不適切な認証）、CWE-295（証明書検証不備）
攻撃元区分	ネットワーク
攻撃条件の複雑さ	低
必要な権限	不要
ユーザー操作	不要

影響を受けるソフトウェア

smallstep/certificates v0.30.0-rc6以前

修正バージョンと回避策

修正バージョン: v0.30.0（v0.30.0-rc7以降）

関連リンク

データソース: NVD (NIST), GitHub Advisory Database

AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

GitHub Advisory:https://github.com/smallstep/certificates/security/advisories/GHSA-q4r8-xm5f-56gw

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-30836

Xでシェアはてブ

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。