| Title | Lexi Wilson (arekinath)等の複数ベンダの製品におけるXML 外部エンティティの脆弱性 |
|---|---|
| Summary | esaml(およびそのフォーク)におけるXML外部実体参照(XXE)脆弱性により、攻撃者はシステムにローカルファイルを読み込ませ、その内容を処理されたSAMLドキュメントに組み込み、さらに細工されたSAMLメッセージを介してSSRFを実行する可能性があります。esamlは署名検証前にxmerl_scan:string/2を使用して攻撃者が制御するSAMLメッセージを解析しますが、XMLエンティティ展開を無効にしていません。Erlang/OTP 27未満のバージョンでは、Xmerlがデフォルトでエンティティを許可しているため、署名前にXXE攻撃が可能です。攻撃者はホストにローカルファイル(例:Kubernetesでマウントされたシークレット)をSAMLドキュメントに読み込ませることができます。攻撃者が信頼されたSAML SPでない場合、署名検証は失敗してドキュメントは破棄されますが、ログやエラーメッセージを通じてファイル内容が露出する可能性があります。この問題はarekianth、handnot2、dropboxによるフォークを含むすべてのesamlバージョンに影響します。Erlang/OTP 27以降で実行しているユーザーは、Xmerlがエンティティを無効化するデフォルト設定となっているため影響を受けません。 |
| Possible impacts | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | March 23, 2026, midnight |
| Registration Date | May 28, 2026, 2:33 p.m. |
| Last Update | May 28, 2026, 2:33 p.m. |
| CVSS3.0 : 警告 | |
| Score | 5.3 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| Lexi Wilson (arekinath) |
| Erlang SAML library 1.1 およびそれ以前 |
| Jump |
| Erlang SAML library 4.6.0 およびそれ以前 |
| handnot2 |
| Erlang SAML library 4.2.0 およびそれ以前 |
| Dropbox |
| Erlang SAML library |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月28日] 掲載 |
May 28, 2026, 2:33 p.m. |