つみかさね

CVE-2026-50628

Critical(9.8)

Apache CXFのOAuthフィルター逆転バイパス CVE-2026-50628:影響範囲と対応方法

公開日: 2026-07-03データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Apache CXFApache Software Foundation< 4.2.2 または < 4.1.7

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Apache CXFのバージョンを確認する(pom.xmlまたはdependency:treeで確認)
  2. 2OAuthRequestFilterを使用しているか確認する
  3. 3Apache CXF 4.2.2または4.1.7以降へアップグレードする
  4. 4アップグレードまでの間、ネットワークレベルでIPアドレス制限を実施する

影響対象

Apache CXF < 4.2.2/4.1.7でOAuthRequestFilter使用者

補足

  • -OAuthRequestFilterのIPアドレス制限機能を有効にしているほど影響を受けやすい状態です
  • -CVE-2026-50627(JWT audience未検証)も同じバージョンで修正されています
CVEApache CXFOAuth認証バイパスセキュリティ設定ミス

30秒で判断

対応すべき人:

  • Apache CXF 4.2.x(< 4.2.2)または 4.1.x(< 4.1.7)を使用している
  • OAuthRequestFilter を有効にしてIPアドレスベースのOAuth認証フィルタリングを使用している

対応不要な人:

  • Apache CXF 4.2.2 または 4.1.7 以降にアップグレード済み
  • Apache CXF を使用していない
  • OAuthRequestFilter のIPアドレス制限機能を使用していない(ただしアップグレードは推奨)

確認コマンド:

# Mavenプロジェクトの場合
mvn dependency:tree | grep cxf
# またはpom.xmlでバージョン確認
grep -r "cxf" pom.xml

概要

Apache CXFの OAuthRequestFilter において、バインドIPアドレスからの正規リクエストを拒否しつつ、それ以外のすべてのIPアドレスからのリクエストを無条件に許可するというロジックエラーが存在します。

本来はバインドIPアドレスからのリクエストのみを許可し、他を拒否する設計のはずですが、判定ロジックが完全に逆転しています。つまり「セキュリティ機能を有効化することで、むしろ保護が無効になる」という状態です。

この脆弱性を利用すると、攻撃者は任意のIPアドレスからOAuthで保護されたリソースにアクセスできます。CVSSスコア9.8はネットワーク経由・認証不要・高影響を反映しています。


CVSSベクトル

項目
CVSSスコア9.8(Critical)
CWECWE-20(不適切な入力検証)、CWE-358(セキュリティ機能の不適切な実装)
攻撃元区分 (AV)ネットワーク (N)
攻撃条件の複雑さ (AC)低 (L)
必要な特権 (PR)なし (N)
ユーザーの関与 (UI)不要 (N)
機密性への影響 (C)高 (H)
完全性への影響 (I)高 (H)
可用性への影響 (A)高 (H)

影響を受けるソフトウェア

製品影響バージョン
Apache CXF< 4.2.2
Apache CXF< 4.1.7

修正バージョンと回避策

修正バージョン: Apache CXF 4.2.2 または 4.1.7

Maven での更新:

<dependency>
    <groupId>org.apache.cxf</groupId>
    <artifactId>cxf-rt-rs-security-oauth2</artifactId>
    <version>4.2.2</version>
</dependency>

回避策(アップグレードが困難な場合):

  • OAuthRequestFilter のIPアドレス制限機能を一時的に無効化する
  • ネットワークレベル(ファイアウォール、ロードバランサー)でIPアドレス制限を実施する

関連リンク


データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。