B
今週中
Cloud Foundry UAAにおいて、EC秘密鍵情報が漏洩する深刻な脆弱性(CVE-2026-40965)
📌 一言でいうと
Cloud Foundry UAAにおいて、EC秘密鍵情報が漏洩する深刻な脆弱性(CVE-2026-40965)が判明しました。JWT署名にEC鍵を利用している構成が対象で、公開エンドポイントのレスポンスに秘密鍵の構成要素が含まれる可能性があります。CVSSv3.1/v4.0ともに最高スコアの10.0(クリティカル)と評価されています。
🔍該当判定
- 自社で「Cloud Foundry」を導入して運用している
- 認証機能として「Cloud Foundry UAA」を利用している
- UAAのJWT署名設定で「EC鍵(楕円曲線暗号)」を使用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
Cloud Foundry UAA 78.13.0 以降、または CF Deployment 56.1.0 以降へアップデートすることを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Cloud Foundry UAA CVE-2026-40965 対応について
お疲れさまです。Cloud Foundry UAAの深刻な脆弱性に関する情報共有です。
■ 概要
Cloud Foundry UAAにおいて、JWT署名にEC鍵を利用している場合に、公開エンドポイントから秘密鍵情報が漏洩する脆弱性が確認されました。CVSSスコアは10.0(Critical)と極めて高く、即時の対応が推奨されます。
■ 影響範囲
- 対象製品: Cloud Foundry UAA
- 条件: JWT署名に「EC鍵」を利用する構成(RSA鍵利用構成は影響なし)
■ 対応手順
1. 自社環境のUAAバージョンおよびJWT署名方式(EC鍵かRSA鍵か)を確認してください。
2. 影響を受ける場合、以下のバージョン以降へアップデートを適用してください。
- Cloud Foundry UAA 78.13.0 以降
- CF Deployment 56.1.0 以降
■ 参考情報
- Cloud Foundry 公式アドバイザリ
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Cloud Foundry UAAの深刻な脆弱性に関する情報共有です。
■ 概要
Cloud Foundry UAAにおいて、JWT署名にEC鍵を利用している場合に、公開エンドポイントから秘密鍵情報が漏洩する脆弱性が確認されました。CVSSスコアは10.0(Critical)と極めて高く、即時の対応が推奨されます。
■ 影響範囲
- 対象製品: Cloud Foundry UAA
- 条件: JWT署名に「EC鍵」を利用する構成(RSA鍵利用構成は影響なし)
■ 対応手順
1. 自社環境のUAAバージョンおよびJWT署名方式(EC鍵かRSA鍵か)を確認してください。
2. 影響を受ける場合、以下のバージョン以降へアップデートを適用してください。
- Cloud Foundry UAA 78.13.0 以降
- CF Deployment 56.1.0 以降
■ 参考情報
- Cloud Foundry 公式アドバイザリ
対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Cloud Foundry UAA CVE-2026-40965
Dear IT/Security Team,
We are sharing information regarding a critical vulnerability in Cloud Foundry UAA.
■ Overview
CVE-2026-40965 is a critical vulnerability where EC private key components may be leaked via JSON responses from public endpoints. This occurs specifically in configurations using EC keys for JWT signing. The CVSS score is 10.0 (Critical).
■ Scope
- Product: Cloud Foundry UAA
- Condition: Configurations using "EC keys" for JWT signing (RSA configurations are not affected).
■ Remediation
1. Verify the current UAA version and the JWT signing method used in your environment.
2. If affected, update to the following versions or later:
- Cloud Foundry UAA 78.13.0
- CF Deployment 56.1.0
■ Reference
- Cloud Foundry Official PR
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a critical vulnerability in Cloud Foundry UAA.
■ Overview
CVE-2026-40965 is a critical vulnerability where EC private key components may be leaked via JSON responses from public endpoints. This occurs specifically in configurations using EC keys for JWT signing. The CVSS score is 10.0 (Critical).
■ Scope
- Product: Cloud Foundry UAA
- Condition: Configurations using "EC keys" for JWT signing (RSA configurations are not affected).
■ Remediation
1. Verify the current UAA version and the JWT signing method used in your environment.
2. If affected, update to the following versions or later:
- Cloud Foundry UAA 78.13.0
- CF Deployment 56.1.0
■ Reference
- Cloud Foundry Official PR
Priority: High
Deadline: Immediate