概要
Moonlight向けセルフホスト型ゲームストリーミングホストSunshine(バージョン2026.516.143833未満)において、クライアント証明書認証をバイパスできる脆弱性が確認されました(CVE-2026-32253)。
src/crypto.cpp内のカスタム検証コールバックが、以下の証明書エラーを成功として扱っていました:
X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY(発行者証明書の取得失敗)X509_V_ERR_CERT_NOT_YET_VALID(証明書が未有効)X509_V_ERR_CERT_HAS_EXPIRED(証明書期限切れ)
このため、信頼されていない証明書でも認証を通過し、保護されたHTTPSエンドポイントに無断でアクセスできる状態でした。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.8(Critical) |
| CWE | CWE-287(不適切な認証)/ CWE-295(不適切な証明書検証) |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 必要な特権レベル(PR) | 不要 |
| ユーザー関与(UI) | 不要 |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Sunshine | LizardByte | 2026.516.143833未満 |
修正バージョンと回避策
- 修正バージョン: Sunshine 2026.516.143833以降
- GitHub Releasesから最新バージョンをダウンロードしてアップデートしてください
- 暫定対応: SunshineへのネットワークアクセスをVPNや信頼済みネットワークに限定する(インターネットに直接公開している場合は特に有効)
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。