🔥 この記事の詳細
2026-07-02 更新
C
月内に

OpenIDCのliboauth2ライブラリに、SSRF(CVE-2026-54430)およびセキュリティチェック不備(CVE-2026-54431)の脆弱性

脆弱性🌐 英語ソース
🔢 CVECVE-2026-54430CVE-2026-54431
📅 2026-07-02📰 cert_pl
📌 一言でいうと
OpenIDCのliboauth2ライブラリに、SSRF(CVE-2026-54430)およびセキュリティチェック不備(CVE-2026-54431)の脆弱性が発見されました。CVE-2026-54430では、AWS ALB検証機能において不適切な入力検証があるため、攻撃者が任意のURLへリクエストを送信させることが可能です。これらの脆弱性はバージョン2.3.0未満のすべてに影響します。
🔍該当判定
  • OpenIDC社のライブラリ「liboauth2」を自社開発システムや製品に組み込んでいる
  • 「liboauth2」のバージョンが 2.3.0 未満である
  • AWS ALB(Application Load Balancer)を利用してJWT認証を実装している
上記いずれにも該当しない → 静観でOK
該当時の対応
liboauth2をバージョン2.3.0以降にアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】OpenIDC liboauth2 脆弱性 (CVE-2026-54430, CVE-2026-54431) 対応について

お疲れさまです。OpenIDC liboauth2に関する脆弱性情報共有です。

■ 概要
OpenIDC liboauth2において、SSRF (CVE-2026-54430) およびセキュリティチェック不備 (CVE-2026-54431) が報告されました。特にCVE-2026-54430では、AWS ALB検証機能において不適切なサニタイズにより、攻撃者がサーバー側から任意の宛先へリクエストを送信させることが可能です。

■ 影響範囲
- 対象製品: OpenIDC liboauth2
- 対象バージョン: 2.3.0 未満のすべてのバージョン

■ 対応手順
1. 利用しているliboauth2のバージョンを確認してください。
2. 脆弱性が修正されたバージョン 2.3.0 以降へアップデートを適用してください。

■ 参考情報
- CERT Polska アドバイザリ

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] OpenIDC liboauth2 Vulnerabilities (CVE-2026-54430, CVE-2026-54431)

Dear IT/Security Team,

We are sharing information regarding vulnerabilities found in OpenIDC liboauth2.

■ Overview
Two vulnerabilities have been identified: SSRF (CVE-2026-54430) and Improperly Implemented Security Check (CVE-2026-54431). CVE-2026-54430 allows an attacker to perform Server-Side Request Forgery via the AWS ALB validator due to insufficient input sanitization and lack of URL encoding.

■ Scope
- Product: OpenIDC liboauth2
- Affected Versions: All versions prior to 2.3.0

■ Remediation
1. Verify the current version of liboauth2 in use.
2. Update the library to version 2.3.0 or later.

■ Reference
- CERT Polska Advisory

Priority: High
Deadline: Immediate