製品・ソフトウェアに関する情報

JVN脆弱性詳細

oauth2_proxy projectのoauth2_proxyにおける不正な認証に関する脆弱性

Title	oauth2_proxy projectのoauth2_proxyにおける不正な認証に関する脆弱性
Summary	OAuth2 Proxyは、OAuth2プロバイダーを使用して認証を提供するリバースプロキシです。7.15.2以前のバージョンでは、email_domain強制オプションの一部としてOAuth2 Proxyに認可バイパスの脆弱性が存在していました。攻撃者はattacker@evil.com@company.comのようなメールクレームで認証を行い、実際には有効なメールアドレスでなくてもcompany.comの許可されたドメインチェックを通過できる可能性がありました。この問題はemail_domain制限に依存しており、IDプロバイダーやクレームマッピングからのメールクレーム値が通常のメール構文を厳密に強制しない展開環境にのみ影響を及ぼします。この脆弱性は7.15.2で修正されています。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 21, 2026, midnight
Registration Date	April 30, 2026, 12:28 p.m.
Last Update	April 30, 2026, 12:28 p.m.

CVSS3.0 : 警告
Score	6.8
Vector	CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N

Affected System

oauth2_proxy project

oauth2_proxy 7.15.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40574	https://www.cve.org/CVERecord?id=CVE-2026-40574
National Vulnerability Database (NVD)
2	CVE-2026-40574	https://nvd.nist.gov/vuln/detail/CVE-2026-40574

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-863	https://cwe.mitre.org/data/definitions/863.html

ベンダー情報

No	Name	URL
GitHub
1	Authorization Bypass in Email Domain Validation via Malformed Multi-@ Email Claims Advisory oauth2-proxy/oauth2-proxy GitHub	https://github.com/oauth2-proxy/oauth2-proxy/security/advisories/GHSA-c5c4-8r6x-56w3

Change Log

No	Changed Details	Date of change
1	[2026年04月30日] 掲載	April 30, 2026, 12:28 p.m.

NVD Vulnerability Information

CVE-2026-40574

Summary	OAuth2 Proxy is a reverse proxy that provides authentication using OAuth2 providers. Prior to 7.15.2, an authorization bypass exists in OAuth2 Proxy as part of the email_domain enforcement option. An attacker may be able to authenticate with an email claim such as attacker@evil.com@company.com and satisfy an allowed domain check for company.com, even though the claim is not a valid email address. The issue ONLY affects deployments that rely on email_domain restrictions and accept email claim values from identity providers or claim mappings that do not strictly enforce normal email syntax. This vulnerability is fixed in 7.15.2.
Publication Date	April 22, 2026, 2:16 a.m.
Registration Date	April 25, 2026, 4:03 a.m.
Last Update	April 28, 2026, 4:49 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:oauth2_proxy_project:oauth2_proxy::::::::					7.15.2

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/oauth2-proxy/oauth2-proxy/security/advisories/GHSA-c5c4-8r6x-56w3	security-advisories@github.com

Common Vulnerabilities List