IBM Security Verify Accessの欠陥によりリモート攻撃者が機密データにアクセス可能

IBMはIBM Verify Identity AccessおよびIBM Security Verify Accessに影響を与える一連の脆弱性に対処する緊急セキュリティ勧告を発表しました。

これらの欠陥は重要な依存関係と内部メカニズムにわたっており、組織はリモートデータ盗難から完全なシステム侵害に至るまでのリスクにさらされています。

サイバーセキュリティの専門家と管理者は、認証インフラストラクチャをセキュアにするために、これらの脅威を直ちに評価する必要があります。

特定された最も深刻な欠陥はCVSS スコア9.8の重大なバッファオーバーフロー脆弱性（CVE-2026-1188）です。

Eclipse OMRポートライブラリコンポーネント内で発見されたこの欠陥は、プロセッサ機能処理中のサイズが不正なバッファが、リモート攻撃者による任意のコード実行またはサービス拒否を引き起こす可能性があります。

別の大きな脅威はIBM Security Verify Access Containerの権限昇格脆弱性（CVE-2026-1346、CVSS 9.3）から生じます。

ローカル認証ユーザーは不要な権限実行により、この欠陥を悪用でき、最終的にはrootアクセスへのアクセス権限を昇格させることができます。

さらに、高深刻度の暗号化弱点（CVE-2023-46233、CVSS 9.1）が製品で使用されるcrypto-jsライブラリに影響します。

ソフトウェアはデフォルトで廃止されたSHA1アルゴリズムとPBKDF2の1回反復を使用しており、暗号化が最新の業界標準よりも大幅に弱くなっています。

これはパスワード保護と生成された署名をプリイメージおよび衝突攻撃にさらします。

認証バイパスおよびリモートアクセス

複数の高深刻度の欠陥がアプリケーションの主要なセキュリティコントロールを直接狙っています：

認証バイパス（CVE-2026-4101）：特定の負荷条件下では、攻撃者は認証メカニズムを完全にバイパスしてアプリケーションへの不正アクセスを実現できます。
OSコマンドインジェクション（CVE-2026-1345）：不適切な検証により、未認証ユーザーが下位の権限で任意のOSコマンドを実行できます。
サーバー側リクエストフォージェリ（CVE-2026-1343）：リモート攻撃者はリバースプロキシをバイパスして内部認証エンドポイントに直接連絡できます。
HTTPリクエストスマグリング（CVE-2026-2862、CVE-2026-1491）：リバースプロキシによるHTTPリクエストの矛盾した解釈により、リモート攻撃者は極めて機密性の高い情報にアクセスできます。

勧告はまた、複数のJava SEの欠陥（CVE-2026-21945、CVE-2026-21932）を概説しており、これによりリモート攻撃者は制御不可能なリソースを消費し、セキュリティコントロールをバイパスし、許可なくアクセス可能なデータを悪意的に変更できます。

管理者はまたクライアント側の攻撃も考慮する必要があります。複数のクロスサイトスクリプティング（XSS）脆弱性（CVE-2025-12635、CVE-2026-4364）により、攻撃者は悪意あるJavaScriptを埋め込むことができます。

そのような欠陥の1つは、不正なtext/htmlContent-Typeレスポンスのため、ブラウザがJSONペイロードスクリプトを実行するようにだまします。

オープンリダイレクト脆弱性（CVE-2026-2475）も攻撃者が特別に細工されたリクエストを使用して被害者を任意の悪意あるウェブサイトにリダイレクトすることにより、高度なフィッシングキャンペーンを実施することを許可します。

セキュリティ欠陥は以下のIBM製品バージョンに影響します：

影響を受けるIBM Verifyバージョンを使用している組織は、IBMが提供する最新のセキュリティパッチを直ちに適用することを強く奨告されています。

crypto-js脆弱性の場合、管理者はライブラリがバージョン4.2.0に更新されていることを確認するか、SHA256を最低25万回反復で使用するように手動で設定する必要があります。

定期的なシステム監視と内部認証エンドポイントへのアクセス制限も、パッチが展開されている間に潜在的な不正アクセスを軽減するのに役立ちます。