UNKNOWNCVE-2026-31946
CVE-2026-31946: OpenOLAT 認証バイパスの脆弱性 (重大度: CRITICAL)
プラットフォーム
other
コンポーネント
openolat
修正バージョン
20.2.5
CVE-2026-31946は、OpenOLATのOpenID Connect実装における認証バイパスの脆弱性です。JWT署名の検証が行われないため、攻撃者は不正なトークンを使用して認証を回避できます。影響を受けるバージョンは10.5.4から20.2.5未満です。この問題はバージョン20.2.5で修正されました。
修正方法
OpenOLATをバージョン20.2.5以降にアップデートしてください。このバージョンでは、OIDC暗黙的フローでJWT署名を正しく検証することにより、認証バイパスの脆弱性が修正されています。
よくある質問
CVE-2026-31946とは何ですか?
OpenOLATのOpenID Connect実装において、JWT署名が検証されないことによる認証バイパスの脆弱性です。
この脆弱性の影響を受けますか?
OpenOLATのバージョンが10.5.4以上20.2.5未満の場合、影響を受ける可能性があります。OpenID Connectを使用している場合は特に注意が必要です。
どのように修正できますか?
OpenOLATをバージョン20.2.5以降にアップデートしてください。これにより、JWT署名検証が正しく行われるようになります。