つみかさね

CVE-2026-42084

High(8.1)

CVE-2026-42084 — OpenC3 COSMOS 未検証パスワード変更

公開日: 2026-05-09データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
COSMOSOpenC3< 6.10.5 / < 7.0.0-rc3

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1OpenC3 COSMOSを使用しているか確認する
  2. 26.10.5または7.0.0-rc3にアップデートする
  3. 3セッションタイムアウトを短く設定する
  4. 4多要素認証の導入を検討する

影響対象

OpenC3 COSMOS利用者宇宙システム運用者

補足

  • -6.10.5 / 7.0.0-rc3で修正済み
CVEOpenC3COSMOS認証バイパスパスワード変更

概要

OpenC3 COSMOS は宇宙システムの指揮・制御に使用されるオープンソースフレームワークです。パスワード変更機能において、旧パスワードの入力を要求せず、有効なセッショントークンのみでパスワードを変更できる脆弱性が存在します。

侵害想定シナリオ(Assumed Breach)において、攻撃者がセッショントークンを何らかの方法で取得した場合、被害者のパスワードを変更してアカウントを完全に乗っ取ることが可能です。パスワード変更時に旧パスワードの検証が行われないため、正当なユーザーがアカウントの回復を困難にされるリスクがあります。

CVSSベクトル

指標
CVSSスコア8.1
深刻度High
CWECWE-620 (未検証パスワード変更)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル

影響を受けるソフトウェア

製品ベンダー影響バージョン
COSMOSOpenC36.10.5 / 7.0.0-rc3 より前

修正バージョンと回避策

  • OpenC3 COSMOS 6.10.5 または 7.0.0-rc3 にアップデートしてください
  • セッション管理のタイムアウト値を短く設定する
  • セッショントークンの管理を厳格化し、不要なセッションを定期的に無効化する
  • 多要素認証(MFA)の導入を検討する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42084
GitHub Advisory:https://github.com/OpenC3/cosmos/security/advisories/GHSA
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。