概要
Azure SDK for Java の com.azure:azure-security-keyvault-keys ライブラリに、セキュリティ機能をバイパスできる脆弱性が確認されました。本脆弱性は Microsoft Security Response Center(MSRC)からも CVE-2026-33117 として認定されており、GHSA では Critical に分類されています。
Azure Key Vault を使用したキー管理・暗号化処理を行うアプリケーションが影響を受ける可能性があります。特権なし・ユーザーインタラクションなしで悪用できる可能性があるため、影響範囲は広いと考えられます。
CVSSベクトル
| 要素 | 値 |
|---|---|
| CVSS スコア | 9.1(Critical) |
| Attack Vector | Network |
| Attack Complexity | Low |
| Privileges Required | None |
| User Interaction | None |
| Confidentiality | High |
| Integrity | High |
| Availability | None |
影響を受けるソフトウェア
| 製品名 | エコシステム | 影響バージョン |
|---|---|---|
| com.azure:azure-security-keyvault-keys | Maven | < 4.10.6 |
修正バージョンと回避策
- 修正バージョン:
azure-security-keyvault-keys4.10.6 以降 - Maven pom.xml の更新例:
<dependency> <groupId>com.azure</groupId> <artifactId>azure-security-keyvault-keys</artifactId> <version>4.10.6</version> </dependency> - 回避策: 可能な範囲で Key Vault へのアクセスを最小権限に制限してください。Azure SDK BOM を使用している場合は BOM バージョンも合わせて更新してください。
関連リンク
データソース: NVD (NIST), GitHub Advisory Database, Microsoft MSRC AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
