Apache Software Foundation は、広く利用されている Apache CXF Web サービスフレームワークに存在する深刻なセキュリティ上の欠陥にパッチを適用しました。攻撃者が LDAP インジェクション脆弱性を悪用することで、企業の LDAP バックエンドリポジトリから任意の X.509 証明書を取得できる可能性があり、PKI に依存する組織にとって深刻なリスクをもたらします。
CVE-2026-44930 として追跡され、重要度「Important(重要)」と評価されたこの脆弱性は、Apache CXF の XKMS(XML 鍵管理仕様)サーバーコンポーネントに含まれる LDAP 証明書リポジトリに存在します。
具体的には、脆弱なモジュール org.apache.cxf.services.xkms:cxf-services-xkms-x509-repo-ldap が、ユーザーから提供された入力を LDAP クエリに組み込む前に適切に無害化できていません。
LDAP インジェクションは、アプリケーションがサニタイズされていない外部入力を使用して LDAP フィルター文字列を構築する際に発生し、攻撃者がクエリロジックを操作できるようになると、Colm O hEigeartaigh 氏は述べています。
今回のケースでは、ネットワーク上の脅威アクターが悪意のある入力を細工することで、意図されたフィルターを回避し、本来アクセスが許可されていない証明書をリポジトリから抽出できる可能性があります。
この脆弱性の CVSS スコアは 9.8(Critical/緊急)であり、ベクター値は CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H で、ネットワーク経由での悪用が可能であり、権限不要でアクセスできることを示しています。
セキュリティ研究者は、この3件の同時アドバイザリが持続的なインジェクション問題を浮き彫りにしていると指摘しており、Colm O hEigeartaigh 氏も CXF のエンタープライズ向けコンポーネント全体にパーサーの脆弱性が存在することを指摘しています。
Apache は、影響を受ける cxf-services-xkms-x509-repo-ldap モジュールのすべてのユーザーに対して、バージョン 4.2.1、4.1.6、または 3.6.11 への即時アップグレードを強く推奨しています。
XKMS LDAP 証明書リポジトリを使用していない環境は、CVE-2026-44930 の直接的な影響を受けません。セキュリティチームはさらに以下の対応も実施してください。
XKMS サポートは、成熟した PKI 環境における X.509 証明書のライフサイクル管理に使用されており、証明書への不正アクセスは、資格情報の窃取、中間者攻撃、および企業ネットワーク内での横移動を可能にする高度なリスクとなります。
翻訳元: https://cyberpress.org/apache-cxf-ldap-injection-flaw/
