概要
gRPC-Goにおいて、HTTPリクエストの:pathヘッダーに対する検証が不十分なため、認可バイパスの脆弱性が存在します。攻撃者は細工した:pathヘッダーを送信することで、gRPCサーバー上のセキュリティインターセプター(認可チェック)を迂回し、本来アクセスできないサービスやメソッドに到達する可能性があります。マイクロサービスアーキテクチャで広く使用されるgRPCの基盤ライブラリに影響するため、波及範囲が大きいです。CVSSスコアは9.1(Critical)です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.1 (Critical) |
| CWE | CWE-285(不適切な認可) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 不要 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
- gRPC-Go(< 1.79.3)
修正バージョンと回避策
バージョン 1.79.3 で修正されています。go get google.golang.org/grpc@v1.79.3 で依存関係を更新してください。gRPCベースのマイクロサービスでは、リバースプロキシやサービスメッシュでの追加的なパス検証も併用することを推奨します。
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。