注目github_advisory1分
nebula-mesh v0.3.4未満:API認証不備でクロステナント権限昇格が可能
30秒で把握
- 1CVE-2026-47724:nebula-mesh v0.3.4未満でAPI認証不備による即時権限昇格が可能
- 2低権限キーから管理者キー発行・クロステナントホスト乗っ取りのエクスプロイト公開済み
- 3v0.3.4で修正済み・全バージョンが影響対象・既存APIキーのローテーション必須
要約
nebula-meshのv0.3.4未満全バージョンに、APIエンドポイントのオーナーシップチェック欠落による権限昇格の脆弱性(CVE-2026-47724)が確認された。`/api/v1/*`ルートはBearerトークンのみで認証を行い、ホスト・ネットワーク・ファイアウォール等のエンドポイントでCA単位のオーナーシップ検証が実施されない。低権限のオペレーターAPIキーから管理者APIキーを即座に発行できるエクスプロイトチェーンが公開されており、クロステナントのホスト乗っ取りも可能となる。
あなたへの影響
nebula-meshを本番環境で運用しているチームは即日v0.3.4へアップグレードし、既存のオペレーターAPIキーをすべてローテーションすること。
推奨:アップグレード前に発行済みキーが悪用されていないか、APIアクセスログで不審なオペレーターAPIキー発行リクエストを確認することも推奨する。