つみかさね

CVE-2026-44930

Critical(9.8)

Apache CXFのLDAPインジェクション CVE-2026-44930:影響範囲と対応方法

公開日: 2026-07-11データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Apache CXFApache Software Foundation< 4.2.1
Apache CXFApache Software Foundation< 4.1.6
Apache CXFApache Software Foundation< 3.6.11

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1Apache CXF のバージョンを確認する(`mvn dependency:list | grep cxf`)
  2. 2XKMS 機能・LDAP 証明書リポジトリを使用しているか確認する
  3. 3Apache CXF 4.2.1 / 4.1.6 / 3.6.11 へアップデートする
  4. 4同日公開の CVE-2026-49875, CVE-2026-50628, CVE-2026-50627 も合わせて確認する

影響対象

Apache CXF XKMS 機能利用者企業内 PKI 環境

補足

  • -XKMS を使用していない場合でも、XXE (CVE-2026-49875) は影響する可能性があるため一括アップデートを推奨
CVEApache CXFLDAPインジェクションXKMS

30秒で判断

対応すべき人:

  • Apache CXF 4.2.0 以前、4.1.5 以前、または 3.6.10 以前を使用している
  • XKMS(XML Key Management Specification)サーバー機能を利用している
  • LDAP 証明書リポジトリを構成している

対応不要な人:

  • Apache CXF 4.2.1 / 4.1.6 / 3.6.11 以降を使用している
  • XKMS 機能を使用していない(標準的な SOAP/REST サービスのみの場合)
  • LDAP 証明書リポジトリを使用していない

確認コマンド:

# Apache CXF のバージョン確認(Maven の場合)
mvn dependency:list | grep cxf-core

# または pom.xml で確認
grep -r "cxf" pom.xml | grep version

概要

Apache CXF の XKMS(XML Key Management Specification)サーバー実装において、LDAP 証明書リポジトリへのクエリに LDAP インジェクションの脆弱性が存在します。

EndpointReferenceUtils が LDAP クエリを構築する際に、攻撃者が制御できる入力値を適切にサニタイズせずに LDAP フィルターに組み込んでしまいます。これにより、攻撃者は LDAP リポジトリに格納された任意の証明書を取得できる可能性があります。

企業内 PKI(Public Key Infrastructure)環境で Apache CXF の XKMS サービスを使用している場合、内部の証明書情報が漏洩するリスクがあります。

同日に公開された Apache CXF の関連 Critical 脆弱性:

  • CVE-2026-49875 (CVSS 9.8): XXE(XML 外部エンティティ)— EndpointReferenceUtilsW3CMultiSchemaFactory が JAXP ハードニングなしに SAXParserFactory を構築
  • CVE-2026-50628 (CVSS 9.8): OAuthRequestFilter のロジックエラーによる逆転した IP 制限チェック
  • CVE-2026-50627 (CVSS 9.1): JWT アクセストークンの Audience クレーム検証漏れ

Apache CXF を使用している場合はこれらをまとめて対応することを推奨します。


CVSSベクトル

項目説明
Attack VectorNetworkネットワーク経由で攻撃可能
Attack ComplexityLow特別な条件不要
Privileges RequiredNone認証不要
User InteractionNoneユーザー操作不要
ScopeUnchangedスコープ変化なし
ConfidentialityHigh機密性への影響大
IntegrityHigh完全性への影響大
AvailabilityHigh可用性への影響大

影響を受けるソフトウェア

製品影響バージョン修正バージョン
Apache CXF< 4.2.14.2.1
Apache CXF< 4.1.64.1.6
Apache CXF< 3.6.113.6.11

修正バージョンと回避策

推奨対応: Apache CXF を 4.2.1 / 4.1.6 / 3.6.11 のいずれかへアップデートします。

<!-- Maven の場合 (pom.xml) -->
<dependency>
  <groupId>org.apache.cxf</groupId>
  <artifactId>cxf-core</artifactId>
  <version>4.2.1</version>
</dependency>

回避策:

  • XKMS 機能を使用していない場合は XKMS エンドポイントを無効化する
  • LDAP リポジトリへのネットワークアクセスを制限し、信頼できるリクエスト元のみに絞る

関連リンク


データソース: NVD (NIST), OSS-Security
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。