製品・ソフトウェアに関する情報

JVN脆弱性詳細

Talisharにおける認証に関する脆弱性

Title	Talisharにおける認証に関する脆弱性
Summary	TalisharはファンメイドのFlesh and Bloodプロジェクトです。コミットa9c218e以前には、Talisharのゲームエンドポイント検証ロジックに認証バイパスの脆弱性がありました。この脆弱性により、認証されていない攻撃者が空のauthKeyパラメータ（authKey=）を供給することで、チャットメッセージの送信やゲーム入力の送信などの認証済みゲームアクションを実行できました。サーバー側の検証は厳密ではなく、空文字列を有効な資格情報として受け入れてしまっていました。一方で、空でないが不正なキーは正しく拒否されます。この非対称性により、有効なトークンを知らなくても認証メカニズムを完全にバイパスできました。この問題はコミットa9c218eで修正されています。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	March 6, 2026, midnight
Registration Date	April 21, 2026, 10:51 a.m.
Last Update	April 21, 2026, 10:51 a.m.

CVSS3.0 : 警告
Score	5.3
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Affected System

Talishar

Talishar 2026-02-22 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-28428	https://www.cve.org/CVERecord?id=CVE-2026-28428
National Vulnerability Database (NVD)
2	CVE-2026-28428	https://nvd.nist.gov/vuln/detail/CVE-2026-28428

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html

ベンダー情報

No	Name	URL
GitHub
1	Authentication Bypass via Empty authKey Parameter Allows Unauthenticated Game Actions Advisory Talishar/Talishar GitHub	https://github.com/Talishar/Talishar/security/advisories/GHSA-2659-p579-wv83

その他

No	Name	URL
関連文書
1	Strict comparison for auth key Talishar/Talishar@a9c218e GitHub	https://github.com/Talishar/Talishar/commit/a9c218efa37756c9e7eed056fbff6ee03f79aefc

Change Log

No	Changed Details	Date of change
1	[2026年04月21日] 掲載	April 21, 2026, 10:51 a.m.

NVD Vulnerability Information

CVE-2026-28428

Summary	Talishar is a fan-made Flesh and Blood project. Prior to commit a9c218e, an authentication bypass vulnerability in Talishar's game endpoint validation logic allows any unauthenticated attacker to perform authenticated game actions — including sending chat messages and submitting game inputs — by supplying an empty authKey parameter (authKey=). The server-side validation uses a loose comparison that accepts an empty string as a valid credential, while correctly rejecting non-empty but incorrect keys. This asymmetry means the authentication mechanism can be completely bypassed without knowing any valid token. This issue has been patched in commit a9c218e.
Summary	Talishar es un proyecto de Flesh and Blood creado por fans. Antes del commit a9c218e, una vulnerabilidad de omisión de autenticación en la lógica de validación del endpoint de juego de Talishar permite a cualquier atacante no autenticado realizar acciones de juego autenticadas — incluyendo el envío de mensajes de chat y la introducción de entradas de juego — al proporcionar un parámetro authKey vacío (authKey=). La validación del lado del servidor utiliza una comparación laxa que acepta una cadena vacía como credencial válida, mientras que rechaza correctamente las claves no vacías pero incorrectas. Esta asimetría significa que el mecanismo de autenticación puede ser completamente omitido sin conocer ningún token válido. Este problema ha sido parcheado en el commit a9c218e.
Publication Date	March 6, 2026, 2:16 p.m.
Registration Date	April 27, 2026, 12:15 p.m.
Last Update	April 20, 2026, 9:57 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:talishar:talishar::::::::					2026-02-22

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/Talishar/Talishar/commit/a9c218efa37756c9e7eed056fbff6ee03f79aefc	security-advisories@github.com
2	https://github.com/Talishar/Talishar/security/advisories/GHSA-2659-p579-wv83	security-advisories@github.com

Common Vulnerabilities List