IBMは、Verify Identity AccessおよびSecurity Verify Accessプロダクトの複数の脆弱性に関する緊急セキュリティアドバイザリーを発行しました。これらの脆弱性により、攻撃者は機密データを盗むかシステム全体を完全に侵害する可能性があります。
これらの脆弱性はソフトウェアとコンテナデプロイメントの両方に影響を与え、IBMの認証およびアクセス管理プラットフォームに依存する組織に深刻なリスクをもたらします。
セキュリティ専門家は、複数の欠陥が致命的と評価されているため、直ちの行動を呼びかけています。
最も深刻な問題はCVE-2026-1188として追跡されており、CVSSスコアは9.8で、Eclipse OMRコンポーネントのバッファオーバーフロー脆弱性です。
この欠陥により、リモート攻撃者はプロセッサ機能処理中の不適切なメモリ処理を悪用して、任意のコードを実行したり、システムをクラッシュさせることができます。
別の重大な脆弱性であるCVE-2026-1346(CVSS 9.3)は、IBM Security Verify Accessコンテナ内での権限昇格を可能にします。
ローカルアクセス権を持つ攻撃者は、不適切な実行制御により、この欠陥を悪用してルート権限を取得できます。
IBMはまた、広く使用されているcrypto-jsライブラリの深刻な暗号化上の弱点(CVE-2023-46233、CVSS 9.1)を強調しました。
このライブラリはデフォルトで廃止されたSHA-1ハッシュと脆弱なPBKDF2設定を使用しており、パスワード保護が衝突および先像攻撃に脆弱になっています。
複数の高深刻度の欠陥は認証とアクセス制御に直接影響を与えます。CVE-2026-4101は特定のシステム負荷条件下での認証バイパスを許可し、攻撃者が不正アクセスを取得できるようにします。
CVE-2026-1345は、認証されていないユーザーがシステムレベルのコマンドを実行できるようにするOSコマンドインジェクション欠陥を公開しています。
さらに、CVE-2026-1343はサーバー側リクエスト偽造(SSRF)脆弱性であり、攻撃者がリバースプロキシをバイパスして内部認証サービスと直接対話できます。
2つのHTTPリクエストスマグリング問題(CVE-2026-2862およびCVE-2026-1491)は、リクエスト解析の矛盾を通じた機密データへの不正アクセスを可能にすることで、リスクをさらに増加させます。
アドバイザリーには、リソース枯渇、データ操作、セキュリティバイパスにつながる可能性のあるJava SE脆弱性も含まれています。
クライアント側では、複数のクロスサイトスクリプティング(XSS)欠陥により、攻撃者がユーザーセッションに悪意のあるスクリプトを注入できる可能性があります。
1つの問題は、不適切なコンテンツタイプの処理に関連しており、ブラウザが悪意のあるJSONペイロードをスクリプトとして実行するようにします。
オープンリダイレクト脆弱性(CVE-2026-2475)もフィッシング攻撃で悪用される可能性があり、ユーザーを攻撃者が制御するウェブサイトにリダイレクトします。
これらの脆弱性は、IBM Verify Identity Access バージョン11.0から11.0.2、およびIBM Security Verify Access バージョン10.0から10.0.9.1に影響を与え、これらのコンテナ化されたデプロイメントも含まれます。
IBMは最新のセキュリティパッチを直ちに適用することを強く推奨しています。管理者はcrypto-jsをバージョン4.2.0に更新するか、SHA-256などのより強力なハッシュアルゴリズムを増加したイテレーション数で設定する必要があります。
追加の軽減措置には、内部認証エンドポイントへのアクセスを制限し、疑わしいアクティビティについてシステムを監視することが含まれます。
ID およびアクセス管理システムの重大な役割を考えると、パッチの適用を遅延させると、組織は深刻なデータ漏洩および運用の中断にさらされる可能性があります。
翻訳元: https://cyberpress.org/ibm-security-verify-access-vulnerabilities/