MEDIUMCVE-2026-24069

WebUI SSO における無効化されたアカウントの不適切な適用

Q: CVE-2026-24069 とは何ですか？（Kiuwan SAST）

はい、Kiuwan SAST Cloud と 2.8.2509.4 以前のオンプレミス (KOP) バージョンに影響を与えます。

Q: Kiuwan SAST の CVE-2026-24069 による影響を受けていますか？

更新できない場合は、SSO ポリシーを注意深く確認し、無効化されたアカウントに過剰な権限がないことを確認してください。

Q: Kiuwan SAST の CVE-2026-24069 を修正するにはどうすればよいですか？

管理インターフェイスまたはシステムログで Kiuwan SAST のバージョンを確認してください。

Q: CVE-2026-24069 は積極的に悪用されていますか？

Kiuwan SAST の監査ログを監視して、異常なログインまたは無効化されたアカウントへのアクセス試行を検出します。

Q: CVE-2026-24069 に関する Kiuwan SAST の公式アドバイザリはどこで確認できますか？

SSO (Single Sign-On) は、ユーザーが 1 つの認証情報セットで複数のアプリケーションにアクセスできるようにします。この脆弱性は、Kiuwan SAST 内の認証における SSO システムとの同期の失敗を利用します。

プラットフォーム

other

コンポーネント

kiuwan

修正版

2.8.2510

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

Kiuwan SASTにおけるCVE-2026-24069は、ローカルで無効化されたユーザーアカウントのSSOログインを不適切に許可する認証バイパスの脆弱性です。この脆弱性を悪用されると、攻撃者は認証を回避し、不正にKiuwan SASTにアクセスする可能性があります。影響を受けるバージョンは1.0.0から2.8.2509.4までのKiuwan SAST、およびKiuwan Cloud、KOP (オンプレミス) です。バージョン2.8.2509.4でこの脆弱性は修正されています。

影響と攻撃シナリオ

CVE-2026-24069 は Kiuwan SAST に影響を与え、クラウド版とオンプレミス (KOP) 版の 2.8.2509.4 以前のバージョンに影響します。この認証の脆弱性により、Single Sign-On (SSO) を介してマッピングされた無効化されたユーザーが、非アクティブな状態にもかかわらず、アプリケーションにアクセスし続けることができます。これは、アカウントの無効化後に認証を検証する際の失敗が原因です。攻撃者は、この脆弱性を悪用して、関連する権限に応じて機密情報への不正アクセス、構成の変更、さらにはサービスの停止を引き起こす可能性があります。この欠陥の重大性は、アクセス制御を回避し、Kiuwan SAST アプリケーションのセキュリティを損なう能力にあります。

悪用の状況

脆弱性の知識を持つ攻撃者は、SSO システムで以前に無効化されたユーザーの資格情報を使用して Kiuwan SAST にログインしようとする可能性があります。アカウントが正しくマッピングされているが、Kiuwan SAST の認証に無効化が正しく反映されていない場合、攻撃者はアプリケーションにアクセスできる可能性があります。このシナリオは、複数の認証システムが使用され、ユーザーの同期が完全に自動化されていない環境でより可能性が高くなります。成功した悪用は、SSO とユーザーマッピングの正しい構成に依存します。

リスク対象者翻訳中…

Organizations utilizing Kiuwan SAST, particularly those relying on SSO for user authentication, are at risk. This includes development teams, security professionals, and DevOps engineers who manage and utilize the SAST tool for code analysis and vulnerability detection. Environments with complex SSO configurations or legacy integrations are particularly vulnerable.

攻撃タイムライン

2026-04-14Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.01% (1% パーセンタイル)

影響を受けるソフトウェア

コンポーネントkiuwan

ベンダーKiuwan

影響範囲修正版

<2.8.2509.4 – <2.8.2509.42.8.2510

弱点分類 (CWE)

CWE-863

タイムライン

予約済み2026-01-21
公開日2026-04-14
EPSS 更新日2026-04-21

緩和策と回避策

CVE-2026-24069 の解決策は、Kiuwan SAST をバージョン 2.8.2509.4 以降に更新することです。この更新により、無効化されたユーザーの不正アクセスを許可する認証の脆弱性が修正されます。リスクを軽減するために、できるだけ早くこの更新を適用することをお勧めします。さらに、SSO の構成とユーザー管理ポリシーを確認して、無効化されたアカウントに不要な権限がないことを確認してください。Kiuwan SAST の監査ログを監視することで、不正アクセス試行を検出し、更新が正しく適用されたことを確認するのに役立ちます。

修正方法翻訳中…

Actualice Kiuwan SAST a la versión 2.8.2509.4 o posterior para corregir la vulnerabilidad. Esta actualización asegura que las cuentas de usuario deshabilitadas no puedan acceder a la aplicación a través de SSO, reforzando la seguridad del sistema.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-24069 とは何ですか？（Kiuwan SAST）