製品・ソフトウェアに関する情報

JVN脆弱性詳細

authlibにおけるオープンリダイレクトの脆弱性

Title	authlibにおけるオープンリダイレクトの脆弱性
Summary	Authlib は OAuth および OpenID Connect サーバーを構築するための Python ライブラリです。バージョン 1.6.10 および 1.7.1 より前の Authlib の OAuth 2.0 認可エンドポイントは、未サポートの response_type を使用し攻撃者が制御する redirect_uri を提供したリクエストに対して、認証されていないオープンリダイレクトに変わる可能性があります。この脆弱な挙動はクライアントの検出やリダイレクト URI の検証の前に発生します。その結果、攻撃者は有効なクライアント登録や認証済みユーザー、または事前の状態を必要としません。認可エンドポイントへの単一リクエストで、任意の攻撃者制御下の URL への 302 Location レスポンスを得ることが可能です。この脆弱性はバージョン 1.6.10 および 1.7.1 で修正されています。
Possible impacts	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 22, 2026, midnight
Registration Date	June 29, 2026, 11:20 a.m.
Last Update	June 29, 2026, 11:20 a.m.

Affected System

authlib

authlib 1.6.10 未満

authlib 1.7.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41479	https://www.cve.org/CVERecord?id=CVE-2026-41479
National Vulnerability Database (NVD)
2	CVE-2026-41479	https://nvd.nist.gov/vuln/detail/CVE-2026-41479

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-601	https://cwe.mitre.org/data/definitions/601.html

ベンダー情報

No	Name	URL
GitHub
1	Authlib OAuth 2.0 authorization endpoint open redirects to attacker-controlled redirect_uri on unsupported response_type Advisory authlib/authlib GitHub	https://github.com/authlib/authlib/security/advisories/GHSA-w8p2-r796-3vmq

その他

No	Name	URL
関連文書
1	fix: redirecting to unvalidated redirect_uri on UnsupportedResponseTy… authlib/authlib@3be0846 GitHub	https://github.com/authlib/authlib/commit/3be08468201a7766a93012ce149ea12822cab096

Change Log

No	Changed Details	Date of change
1	[2026年06月29日] 掲載	June 29, 2026, 11:20 a.m.

NVD Vulnerability Information

CVE-2026-41479

Summary	Authlib is a Python library which builds OAuth and OpenID Connect servers. Prior to 1.6.10 and 1.7.1, Authlib's OAuth 2.0 authorization endpoint can be turned into an unauthenticated open redirect when a request uses an unsupported response_type and supplies an attacker-controlled redirect_uri. The vulnerable behavior happens before client lookup and before any redirect URI validation. As a result, an attacker does not need a valid client registration, an authenticated user, or any prior state. A single request to the authorization endpoint is enough to obtain a 302 Location response to an arbitrary attacker-controlled URL. This vulnerability is fixed in 1.6.10 and 1.7.1.
Publication Date	June 23, 2026, 6:16 a.m.
Registration Date	June 27, 2026, 4:11 a.m.
Last Update	June 27, 2026, 5:10 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/authlib/authlib/commit/3be08468201a7766a93012ce149ea12822cab096	security-advisories@github.com
2	https://github.com/authlib/authlib/security/advisories/GHSA-w8p2-r796-3vmq	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-601	オープンリダイレクト	https://cwe.mitre.org/data/definitions/601.html