CVE-2026-1524: 認証バイパス in Neo4j Enterprise Edition

この脆弱性を悪用されると、攻撃者は認証のみのOIDCプロバイダを通じて、本来許可されていない権限でNeo4jデータベースにアクセスできるようになります。具体的には、認証のみのプロバイダが持つグループ情報に基づいて、管理者権限を取得する可能性があります。これにより、機密データの窃取、データの改ざん、さらにはデータベース全体の制御権を奪われるリスクがあります。この脆弱性は、特に複数のOIDCプロバイダを複雑な設定で運用している環境において、深刻な影響をもたらす可能性があります。

Organizations utilizing Neo4j Enterprise Edition with SSO enabled and multiple OIDC providers configured are at risk. Specifically, deployments with authentication-only OIDC providers containing groups with elevated privileges are particularly vulnerable. Legacy configurations and environments with limited security oversight are also at increased risk.

1. 2026-03-11Disclosure

   disclosure

1. 予約済み2026-01-28
2. 公開日2026-03-11
3. 更新日2026-03-12
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずNeo4j Enterprise Editionをバージョン2026.02以降にアップデートすることを推奨します。アップデートが困難な場合は、OIDCプロバイダの設定を見直し、認証のみのプロバイダが権限付与を行わないように設定してください。また、WAF（Web Application Firewall）やプロキシサーバーを用いて、不正なアクセスを検知・遮断するルールを実装することも有効です。Neo4jの監査ログを定期的に監視し、異常なアクセスパターンを早期に発見することも重要です。アップデート後、Neo4jのログを確認し、意図しない権限付与が発生していないことを確認してください。