注目★★★★★github_advisory
CoreWCF SAML認証バイパス脆弱性 CVE-2026-54782、v1.8.1/v1.9.1で修正
30秒で把握
- 1CoreWCF SAML認証バイパスCVE-2026-54782、管理者を含む完全なりすましが可能
- 2WSFederationHttpBinding+UseIdentityConfiguration=true構成が対象・回避策なし
- 3v1.8.1およびv1.9.1で修正済み・即時アップデートが必須
要約
CoreWCFにSAML 1.1および2.0のトークン署名検証をバイパスする脆弱性CVE-2026-54782が確認された。攻撃者は任意のプリンシパル(管理者を含む)へのなりすましが可能で、完全なアカウント詐称を実現できる。WSFederationHttpBindingまたはWS2007FederationHttpBindingを使用し、UseIdentityConfiguration=trueの構成が対象となる。回避策はなく、v1.8.1またはv1.9.1へのアップデートが唯一の対処法だ。
あなたへの影響
WSFederationHttpBindingを利用したCorWCFサービスを運用しているチームは、即時にv1.8.1またはv1.9.1へアップグレードすること。
推奨:回避策が存在しないため、パッチ適用が唯一の対策となる。