プラットフォーム
go
コンポーネント
github.com/zitadel/zitadel
修正版
2.59.1
4.11.1
1.80.0-v2.20.0.20260225053328-b2532e966621
CVE-2026-27945は、github.com/zitadel/zitadelにおけるSSRF(Server-Side Request Forgery)脆弱性です。この脆弱性を悪用されると、攻撃者はZITADELのActions機能を通じて、本来アクセスできない内部リソースにアクセスできる可能性があります。影響を受けるバージョンは、v2.59.0以前およびv4.11.1未満です。最新バージョンへのアップデートにより、この脆弱性は修正されています。
このSSRF脆弱性は、攻撃者がZITADELサーバーから任意の内部URLにリクエストを送信することを可能にします。これにより、攻撃者は機密情報を含む内部サービスへのアクセスを試みたり、内部ネットワークをスキャンしたり、さらには他の内部システムへの攻撃の足がかりとして利用する可能性があります。攻撃の成功は、ZITADELがアクセス可能な内部ネットワークの範囲と、そのネットワーク内のシステムのセキュリティレベルに依存します。この脆弱性は、Log4Shellのような広範囲な影響を直接的に引き起こす可能性は低いですが、内部ネットワークへの侵入経路として悪用されるリスクは存在します。
この脆弱性は、2026年3月10日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていません。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていませんが、SSRF脆弱性であるため、攻撃者による悪用が懸念されます。脆弱性スキャナによる検出が増加する可能性があります。
エクスプロイト状況
EPSS
0.04% (12% パーセンタイル)
CISA SSVC
この脆弱性への主な対策は、ZITADELをバージョン1.80.0-v2.20.0.20260225053328-b2532e966621以降にアップデートすることです。アップデートが利用できない場合は、Actions機能の使用を一時的に制限するか、ActionsがアクセスできるURLを厳密に制限するWAF(Web Application Firewall)やプロキシサーバーを導入することを検討してください。また、ZITADELのログを監視し、異常なリクエストパターンを検出するためのルールを実装することも有効です。アップデート後、Actions機能が正常に動作することを確認してください。
ZITADEL をバージョン 4.11.1 以降にアップデートしてください。アップデートできない場合は、ネットワークポリシーまたはファイアウォールルールを設定して、Actions が意図しないエンドポイントを使用しないようにしてください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-27945は、ZITADELのActions機能におけるSSRF脆弱性です。攻撃者はこの脆弱性を悪用して、ZITADELサーバーから内部リソースにアクセスできる可能性があります。
ZITADELのバージョンがv2.59.0以前、v4.11.1未満である場合は、影響を受けている可能性があります。バージョンを確認し、最新バージョンへのアップデートを検討してください。
ZITADELをバージョン1.80.0-v2.20.0.20260225053328-b2532e966621以降にアップデートしてください。アップデートが難しい場合は、Actions機能の使用を制限するか、WAFを導入することを検討してください。
現時点では、CVE-2026-27945を悪用した具体的な攻撃事例は確認されていませんが、SSRF脆弱性であるため、悪用されるリスクは存在します。
ZITADELの公式アドバイザリは、github.com/zitadel/zitadelのリリースノートで確認できます。
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。