概要
YunaiV yudao-cloud(バージョン 2026.01 以下)において、OAuth2TokenServiceImpl.java の getAccessToken 関数に不適切な認証の脆弱性が存在します。
攻撃者はリモートからこの脆弱性を悪用し、適切な認証なしにOAuth2アクセストークンを取得できる可能性があります。これにより、認証を迂回してシステムの機能に不正アクセスされるリスクがあります。この脆弱性は公開済みですが、ベンダーからの応答はありません。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 7.3 |
| 深刻度 | High |
| CWE | CWE-287 (不適切な認証) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| yudao-cloud | YunaiV | 2026.01 以下 |
修正バージョンと回避策
- 本稿執筆時点で修正版は未リリースです(ベンダー応答なし)
- OAuth2トークンエンドポイントへのアクセスをネットワークレベルで制限する
- 独自に getAccessToken の認証チェックを追加するパッチの適用を検討する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。