製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

NhostのNhost/authにおける認証に関する脆弱性

タイトル	NhostのNhost/authにおける認証に関する脆弱性
概要	NhostはGraphQLを備えたオープンソースのFirebase代替サービスです。バージョン0.49.1以前のNhostは、OAuthの提供元がメールアドレスを確認済みである場合に限り、受信したOAuthのIDを既存のNhostアカウントに自動的にリンクしていました。Nhostのコントローラーは、各プロバイダアダプターによって設定されるprofile.EmailVerifiedというブール値を信頼しています。この脆弱性は、複数のプロバイダアダプターがこのフィールドを正しく設定していないことに起因します。具体的には、DiscordではプロバイダAPIが実際に返すverifiedフィールドを静かに無視し、Bitbucketでは確認されていないメールアドレスを受け入れて確認済みとマークすることがあります。さらに、Microsoftの2つのプロバイダ（AzureAD、EntraID）は、ユーザープリンシパル名のような所有権を証明しないフィールドからメールアドレスを導出し、それを確認済みとして扱います。その結果、攻撃者は所有していないメールアドレスをNhostに提示し、OAuthのIDを被害者のアカウントにマージさせ、完全に認証されたセッションを取得できてしまいます。この問題はバージョン0.49.1で修正されています。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月8日0:00
登録日	2026年5月15日11:00
最終更新日	2026年5月15日11:00

CVSS3.0 : 緊急
スコア	9.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

Nhost

Nhost/auth 0.49.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41574	https://www.cve.org/CVERecord?id=CVE-2026-41574
National Vulnerability Database (NVD)
2	CVE-2026-41574	https://nvd.nist.gov/vuln/detail/CVE-2026-41574

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html
2	CWE-noinfo	https://www.ipa.go.jp/security/vuln/scap/cwe.html

ベンダー情報

No	名前	URL
GitHub
1	Account Takeover via OAuth Email Verification Bypass Advisory nhost/nhost GitHub	https://github.com/nhost/nhost/security/advisories/GHSA-6g38-8j4p-j3pr

その他

No	名前	URL
関連文書
1	fix(auth): strict use of email verified with oauth2 providers (#4162) nhost/nhost@ec8dab3 GitHub	https://github.com/nhost/nhost/commit/ec8dab3f2cf46e1131ddaf893d56c37aa00380b2
2	fix(auth): strict use of email verified with oauth2 providers by dbarrosop Pull Request #4162 nhost/nhost GitHub	https://github.com/nhost/nhost/pull/4162
3	Release auth@0.49.1 nhost/nhost GitHub	https://github.com/nhost/nhost/releases/tag/auth%400.49.1

変更履歴

No	変更内容	変更日
1	[2026年05月15日] 掲載	2026年5月15日11:00

NVD脆弱性情報

CVE-2026-41574

概要	Nhost is an open source Firebase alternative with GraphQL. Prior to version 0.49.1, Nhost automatically links an incoming OAuth identity to an existing Nhost account when the email addresses match. This is only safe when the email has been verified by the OAuth provider. Nhost's controller trusts a profile.EmailVerified boolean that is set by each provider adapter. The vulnerability is that several provider adapters do not correctly populate this field they either silently drop a verified field the provider API actually returns (Discord), or they fall back to accepting unconfirmed emails and marking them as verified (Bitbucket). Two Microsoft providers (AzureAD, EntraID) derive the email from non-ownership-proving fields like the user principal name, then mark it verified. The result is that an attacker can present an email they don't own to Nhost, have the OAuth identity merged into the victim's account, and receive a full authenticated session. This issue has been patched in version 0.49.1.
公表日	2026年5月9日0:16
登録日	2026年5月9日4:13
最終更新日	2026年5月14日2:46

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:nhost:nhost\/auth::::::::					0.49.1

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/nhost/nhost/commit/ec8dab3f2cf46e1131ddaf893d56c37aa00380b2	security-advisories@github.com
2	https://github.com/nhost/nhost/pull/4162	security-advisories@github.com
3	https://github.com/nhost/nhost/releases/tag/auth%400.49.1	security-advisories@github.com
4	https://github.com/nhost/nhost/security/advisories/GHSA-6g38-8j4p-j3pr	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-287	不適切な認証	https://cwe.mitre.org/data/definitions/287.html