注目github_advisory1分
Fulcio に OIDC 検出リダイレクト脆弱性、SSRF と Kubernetes トークン流出のリスク
30秒で把握
- 1Fulcio の OIDC Discovery で 3 つの脆弱性を確認。クロスホストリダイレクト許可により blind SSRF と JWKS キャッシュ毒化が可能。
- 2Kubernetes ServiceAccount トークンが内部認証に使用され、リダイレクト時に第三者ホストへ流出する危険性が存在。
- 3Fulcio ユーザーは対象バージョン確認と即パッチ適用、Kubernetes ログ監視とトークンローテーションを実施推奨。
要約
Fulcio の OIDC Discovery クライアントに 3 つのセキュリティ脆弱性が発見された。クロスホストリダイレクトを追従するため、攻撃者が Fulcio の要求を内部システムへ誘導する blind SSRF が可能だった。さらに攻撃者は悪意ある `jwks_uri` でキャッシュを毒化し、署名検証を無効化できた。Kubernetes ServiceAccount トークンが in-cluster 認証に使用されていたため、リダイレクト時に第三者ホストへ流出する危険があった。
あなたへの影響
この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。
クレカ不要・いつでも解約