Asayomu Tech
注目github_advisory1

Fulcio に OIDC 検出リダイレクト脆弱性、SSRF と Kubernetes トークン流出のリスク

30秒で把握

  • 1Fulcio の OIDC Discovery で 3 つの脆弱性を確認。クロスホストリダイレクト許可により blind SSRF と JWKS キャッシュ毒化が可能。
  • 2Kubernetes ServiceAccount トークンが内部認証に使用され、リダイレクト時に第三者ホストへ流出する危険性が存在。
  • 3Fulcio ユーザーは対象バージョン確認と即パッチ適用、Kubernetes ログ監視とトークンローテーションを実施推奨。

要約

Fulcio の OIDC Discovery クライアントに 3 つのセキュリティ脆弱性が発見された。クロスホストリダイレクトを追従するため、攻撃者が Fulcio の要求を内部システムへ誘導する blind SSRF が可能だった。さらに攻撃者は悪意ある `jwks_uri` でキャッシュを毒化し、署名検証を無効化できた。Kubernetes ServiceAccount トークンが in-cluster 認証に使用されていたため、リダイレクト時に第三者ホストへ流出する危険があった。

あなたへの影響

この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。

7日間無料で読む

クレカ不要・いつでも解約

詳細を読む → 元記事へ※ 本文は元記事をご確認ください (asayomu は要約のみ提供)

※ 外部記事の権利は原著作者に帰属します。著作権削除要請は copyright@asayomu.jp までご連絡ください(受領確認 24h・実処理 72h 以内)。