つみかさね

CVE-2026-33117

Critical(9.1)

Azure Key Vault Keys ライブラリのセキュリティ機能バイパス CVE-2026-33117:影響範囲と対応方法

公開日: 2026-06-04データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
azure-security-keyvault-keysMicrosoft< 4.10.6

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1使用している azure-security-keyvault-keys のバージョンを確認する
  2. 24.10.6 未満の場合、pom.xml または build.gradle を更新してアップグレードする
  3. 3アップグレード後に Azure Key Vault の接続・操作テストを実施する

影響対象

Azure SDK for Java 利用者Azure Key Vault を使用するJavaアプリケーション

補足

  • -Azure SDK BOM を使用している場合は BOM バージョンも合わせて更新してください
CVEAzureJavaMavenセキュリティバイパスKeyVault

概要

Azure SDK for Java の com.azure:azure-security-keyvault-keys ライブラリに、セキュリティ機能をバイパスできる脆弱性が確認されました。本脆弱性は Microsoft Security Response Center(MSRC)からも CVE-2026-33117 として認定されており、GHSA では Critical に分類されています。

Azure Key Vault を使用したキー管理・暗号化処理を行うアプリケーションが影響を受ける可能性があります。特権なし・ユーザーインタラクションなしで悪用できる可能性があるため、影響範囲は広いと考えられます。

CVSSベクトル

要素
CVSS スコア9.1(Critical)
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
ConfidentialityHigh
IntegrityHigh
AvailabilityNone

影響を受けるソフトウェア

製品名エコシステム影響バージョン
com.azure:azure-security-keyvault-keysMaven< 4.10.6

修正バージョンと回避策

  • 修正バージョン: azure-security-keyvault-keys 4.10.6 以降
  • Maven pom.xml の更新例:
    <dependency>
      <groupId>com.azure</groupId>
      <artifactId>azure-security-keyvault-keys</artifactId>
      <version>4.10.6</version>
    </dependency>
    
  • 回避策: 可能な範囲で Key Vault へのアクセスを最小権限に制限してください。Azure SDK BOM を使用している場合は BOM バージョンも合わせて更新してください。

関連リンク


データソース: NVD (NIST), GitHub Advisory Database, Microsoft MSRC AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。