TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > CVE-2026-40965 > 「Cloud Foundry UAA」にEC秘密鍵情報が漏洩するおそれ

「Cloud Foundry UAA」にEC秘密鍵情報が漏洩するおそれ

CVE-2026-40965 楕円曲線暗号 / ECC アプリ: Cloud Foundry UAA

【要点】

◎Cloud Foundry UAAにCVSS 10.0の重大な脆弱性CVE-2026-40965が判明した。EC鍵利用時にJWT公開鍵エンドポイントから秘密鍵情報の一部が漏洩する恐れがあり、早急な更新が必要 (Security NEXT)


【要約】

Cloud Foundryの認証・認可コンポーネントであるCloud Foundry UAAに、楕円曲線暗号(ECC)の秘密鍵情報が漏洩する脆弱性CVE-2026-40965が発見された。この問題はJWT署名にEC鍵を使用する構成に影響し、RSA鍵利用環境は対象外となる。公開鍵情報を提供するエンドポイントにおいて、サーバ側の処理不備により秘密鍵に関する構成要素がJSONレスポンスへ含まれる可能性がある。CVSS v4.0およびv3.1のスコアはいずれも最高値の10.0で、Criticalに分類される。Cloud Foundryプロジェクトは、修正版のCloud Foundry UAA 78.13.0以降、またはCF Deployment 56.1.0以降への速やかな更新を推奨している。

【文字数】


【ニュース】

◆「Cloud Foundry UAA」にEC秘密鍵情報が漏洩するおそれ (Security NEXT, 2026/06/02)
https://www.security-next.com/185257

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022