概要
セキュリティ研究者のアミット・ライシュ氏が、人気のオープンソース・アイデンティティおよびアクセス管理プラットフォームであるZITADELに存在する深刻なクロスサイトスクリプティング(XSS)脆弱性を発見し、報告しました。この脆弱性は、ユーザーのブラウザ内で悪意のあるJavaScriptを実行する可能性があります。
脆弱性の詳細
この脆弱性は、CVE-2026-29191として追跡されており、深刻度は「Critical」です。この脆弱性は、ZITADELのログインV2インターフェースの/saml-postエンドポイントに存在します。この脆弱性により、認証されていないリモート攻撃者が、ユーザーのブラウザ内で悪意のあるJavaScriptを直接実行することができます。
影響範囲
この脆弱性は、ZITADELバージョン4.0.0から4.11.1までに影響を及ぼします。特に、この脆弱性はプラットフォームのデフォルトの設定で存在するため、特定のアイデンティティ統合が有効になっていなくてもリスクにさらされる可能性があります。
攻撃メカニズムと影響
この脆弱性は、ZITADELが/saml-post HTTPエンドポイントをどのように処理するかから発生します。このエンドポイントは、SAMLアイデンティティプロバイダーへのリクエストを処理するために使用されます。このエンドポイントは、urlとidという2つの特定のHTTP GETパラメータを受け取ります。これらのパラメータが提供されると、ユーザーのブラウザは自動的にHTTP POSTリクエストを対象のURLに送信します。
主なセキュリティ上の問題は、エンドポイントがユーザーが提供したurlパラメータに基づいてユーザーを不安全にリダイレクトすることです。悪意のあるアクターは、javascript:スキーマを使用して欺瞞的なリンクを作成することができます。被害者がこのURLをクリックすると、任意のJavaScriptがユーザーのアクティブなブラウザセッション内で即座に実行されます。
対策と修正
ZITADELの開発チームは、この深刻な脆弱性を迅速に対処し、完全にパッチが適用されたバージョン4.12.0をリリースしました。セキュリティチームは、すぐに環境をこのバージョン4.12.0またはそれ以降に更新する必要があります。
追加のアクセス制御措置として、組織はマルチファクターオートネーション(MFA)やパスワードレスログインを強制する必要があります。バージョン4.12.0では、脆弱な/saml-postエンドポイントが完全に削除され、SAML統合アーキテクチャが完全に再構築されています。
また、プラットフォームのセキュリティが強化され、パスワード変更インターフェースがユーザーの現在のパスワードを厳格に要求するようになりました。これは、認証セッションの状態に関係なくです。
緊急対応
即座にアップグレードが不可能な場合や、SAML統合が不要な場合は、管理者がWebアプリケーションファイアウォール(WAF)やリバースプロキシルールを展開し、脆弱なエンドポイントへの外部トラフィックをブロックする必要があります。
結論
この脆弱性は、ZITADELのデフォルト設定で存在するため、管理者はすぐに対策を講じるべきです。また、MFAやパスワードレス認証を強制することで、この特定のパスワードリセット攻撃ベクトルを軽減することができます。