MEDIUMCVE-2026-28514

CVE-2026-28514: 認証バイパス in Rocket.Chat

Q: CVE-2026-28514 — 認証バイパス in Rocket.Chatとは何ですか？

CVE-2026-28514は、Rocket.Chatのバージョン8.0.0以前に存在する認証バイパス脆弱性で、任意のパスワードで任意のユーザーとしてログインできる可能性があります。

Q: CVE-2026-28514 in Rocket.Chatに影響を受けますか？

Rocket.Chatのバージョンが7.8.6以前、7.9.8以前、7.10.7以前、7.11.4以前、7.12.4以前、7.13.3以前、または8.0.0以前の場合は影響を受けます。

Q: CVE-2026-28514 in Rocket.Chatをどのように修正しますか？

Rocket.Chatをバージョン8.0.0にアップデートしてください。アップデートができない場合は、WAFの導入やパスワードポリシーの強化などの緩和策を検討してください。

Q: CVE-2026-28514は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、認証バイパスの脆弱性は悪用されやすい傾向にあります。

Q: CVE-2026-28514に関するRocket.Chatの公式アドバイザリはどこで入手できますか？

Rocket.Chatの公式アドバイザリは、Rocket.Chatのセキュリティページで確認できます。

プラットフォーム

nodejs

コンポーネント

rocket.chat

修正版

7.8.7

7.9.9

7.10.8

7.11.5

7.12.5

7.13.4

8.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-28514は、Rocket.Chatの認証サービスにおける重大な脆弱性です。この脆弱性は、攻撃者が任意のパスワードを使用して、任意のユーザーとしてRocket.Chatにログインすることを可能にします。影響を受けるバージョンは、7.8.6以前、7.9.8以前、7.10.7以前、7.11.4以前、7.12.4以前、7.13.3以前、および8.0.0以前です。バージョン8.0.0へのアップデートで修正されています。

影響と攻撃シナリオ

この認証バイパス脆弱性は、攻撃者にとって非常に危険です。攻撃者は、この脆弱性を悪用することで、Rocket.Chatのシステムに不正にアクセスし、機密情報を盗み出したり、システムを破壊したりする可能性があります。攻撃者は、ユーザーアカウントを乗っ取り、他のユーザーになりすまして行動することも可能です。この脆弱性は、Rocket.Chatのセキュリティを著しく損なう可能性があります。類似の認証バイパス脆弱性は、他のコミュニケーションプラットフォームでも確認されており、広範囲な影響が懸念されます。

悪用の状況

この脆弱性は、2026年3月6日に公開されました。現時点では、公開されているPoC（Proof of Concept）は確認されていませんが、認証バイパスの脆弱性は悪用されやすい傾向にあります。CISA KEVリストへの登録状況は不明ですが、認証システムの脆弱性は、攻撃者にとって魅力的な標的となるため、注意が必要です。

リスク対象者翻訳中…

Organizations and teams relying on Rocket.Chat for internal or external communication are at risk, particularly those using older, unpatched versions. Shared hosting environments where multiple Rocket.Chat instances share resources are also at increased risk, as a compromise of one instance could potentially impact others.

検出手順翻訳中…

• nodejs / server: Monitor Rocket.Chat logs for unusual login patterns, particularly failed login attempts followed by successful logins with arbitrary passwords. Use journalctl -u rocket.chat to filter for authentication-related events. • generic web: Monitor access logs for requests to the authentication endpoint with unusual parameters or patterns. • database (mongodb): Examine the Rocket.Chat MongoDB database for unexpected user accounts or modified user profiles.

攻撃タイムライン

2026-03-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート5 件の脅威レポート

EPSS

0.04% (13% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントrocket.chat

ベンダーRocketChat

影響範囲修正版

< 7.8.6 – < 7.8.67.8.7

< 7.9.8 – < 7.9.87.9.9

< 7.10.7 – < 7.10.77.10.8

< 7.11.4 – < 7.11.47.11.5

< 7.12.4 – < 7.12.47.12.5

< 7.13.3 – < 7.13.37.13.4

< 8.0.0 – < 8.0.08.0.1

弱点分類 (CWE)

CWE-287

タイムライン

予約済み2026-02-27
公開日2026-03-06
更新日2026-03-11
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応として、まず、Rocket.Chatをバージョン8.0.0にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合は、一時的な緩和策として、WAF（Web Application Firewall）を導入し、不正なログイン試行をブロックするルールを設定することを検討してください。また、アカウントのパスワードポリシーを強化し、複雑なパスワードの使用を義務付けることで、攻撃のリスクを軽減できます。アップデート後、ログイン機能をテストし、脆弱性が修正されていることを確認してください。

修正方法

Rocket.Chatをバージョン7.8.6、7.9.8、7.10.7、7.11.4、7.12.4、7.13.3、または8.0.0、またはそれ以降のバージョンにアップデートしてください。これにより、ddp-streamerサービスにおける認証バイパスの脆弱性が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問