概要
人気のオープンソースIDおよびアクセス管理プラットフォームであるApache SyncopeのConsoleコンポーネントに、重大なXML External Entity (XXE) 脆弱性が発見されました。この脆弱性(CVE-2026-23795)は、認証された管理者がXXE攻撃を実行し、影響を受けるシステムから機密データを抽出することを可能にします。セキュリティ研究者のFollycat氏とY0n3er氏によって発見されたこの欠陥は、広く展開されているIAMソリューションの複数のバージョンに影響を与えます。
脆弱性の詳細
この脆弱性は、Apache Syncope ConsoleにおけるXML External Entity参照に対する不適切な制限に起因しています。Keymasterパラメータを作成または変更する十分な権限を持つ管理者は、悪意のあるXMLを作成してXXE攻撃をトリガーできます。以下に脆弱性の詳細を示します。
- CVE ID: CVE-2026-23795
- コンポーネント: Console (Keymaster Parameters)
- 深刻度: Moderate (中程度)
- 影響を受けるバージョン: 3.0 ~ 3.0.15、4.0 ~ 4.0.3
- 修正バージョン: 3.0.16 / 4.0.4
この脆弱性により、攻撃者は機密ファイルを読み取ったり、内部システム情報にアクセスしたり、ID管理インフラストラクチャ内で権限を昇格させたりする可能性があります。XXE脆弱性は、管理者が重要な認証および認可パラメータを管理するIAM環境において特に危険です。
影響と対策
この脆弱性は、Apache Syncopeのバージョン3.0から3.0.15、および4.0から4.0.3に影響を及ぼします。これらのバージョンを実行している組織は、データ漏洩やユーザー資格情報およびセッショントークンへの不正アクセスという差し迫ったリスクに直面しています。
Apache Syncope開発チームは、このセキュリティギャップに対処するためのパッチをリリースしました。影響を受けるバージョンを使用しているユーザーは、直ちにApache Syncope 3.0.16または4.0.4にアップグレードする必要があります。これらのパッチ適用済みリリースには、Keymasterパラメータ構成を介したXXE悪用を防ぐ強化されたXML解析メカニズムが含まれています。
組織は、Keymasterパラメータの構成を不審なXMLパターンについてレビューし、Consoleの監査ログを監視して不正なパラメータ変更がないか確認することが推奨されます。さらに、管理アクセスを許可された担当者のみに制限することで、最小権限の原則を実装すべきです。