プラットフォーム
other
コンポーネント
openolat
修正版
10.5.5
CVE-2026-31946は、OpenOLATのOpenID Connect実装における認証バイパスの脆弱性です。JWT署名の検証が行われないため、攻撃者は不正なトークンを使用して認証を回避できます。影響を受けるバージョンは10.5.4から20.2.5未満です。この問題はバージョン20.2.5で修正されました。
OpenOLATのCVE-2026-31946脆弱性は、OpenOLAT(オープンソースのWebベースのeラーニングプラットフォーム)のセキュリティを、JWTトークンの操作によって侵害する可能性があります。具体的には、10.5.4から20.2.5より前のバージョンのOpenOLATにおけるOpenID Connectの暗黙的フロー実装は、JWT署名を検証しません。これにより、攻撃者は正当なものに見える悪意のあるJWTトークンを作成できる可能性があります。なぜなら、JSONWebToken.parse()メソッドはコンパクトなJWTの署名セグメント(header.payload.signature)をサイレントに無視するからです。署名検証の欠如により、偽のクレームを挿入することが可能になり、ユーザーのなりすまし、機密データへの不正アクセス、さらにはサーバー上での任意のコード実行につながる可能性があります。この影響は、学生と教員のデータセキュリティが最優先事項である環境では特に深刻です。
攻撃者は、OpenOLATにOpenID Connectリクエストを送信できる場合、この脆弱性を悪用できる可能性があります。これは、OpenOLATのログインページにユーザーをリダイレクトする悪意のあるWebサイトを使用するか、ネットワークトラフィックを傍受することによって実現できます。攻撃者が有効なJWTトークンを入手すると、署名とクレームを操作して、プラットフォームのリソースへの不正アクセスを得ることができます。悪用の難易度は、デプロイメント環境と実装されている追加のセキュリティ対策によって異なります。JWT署名検証の欠如は、限られた技術的専門知識を持つ攻撃者にとっても悪用を容易にする根本的な欠陥です。
Educational institutions and organizations using OpenOLAT for online learning are at significant risk. Specifically, those relying on OpenID Connect for authentication and using versions between 10.5.4 and 20.2.4 are particularly vulnerable. Shared hosting environments where OpenOLAT instances are deployed alongside other applications could also be affected if proper isolation is not in place.
• linux / server: Monitor OpenOLAT logs for JWT requests lacking a signature or with invalid claims. Use journalctl -u openolat to filter for relevant log entries.
journalctl -u openolat | grep -i "JWT signature" -i "invalid claim"• generic web: Use curl to test OpenID Connect endpoints with crafted JWTs lacking signatures to see if they are accepted.
curl -H "Authorization: Bearer <malformed_jwt>" <openid_connect_endpoint>• database (mysql): If OpenOLAT stores JWTs in the database (check configuration), query the relevant tables for JWTs without a signature field or with suspicious claim values. (Specific query depends on OpenOLAT's database schema).
disclosure
エクスプロイト状況
EPSS
0.03% (7% パーセンタイル)
CISA SSVC
CVE-2026-31946の主な軽減策は、OpenOLATをバージョン20.2.5以降にアップグレードすることです。このバージョンには、JWT署名を正しく検証する修正が含まれており、トークンの操作を防ぎます。その間、一時的な対策として、信頼できないネットワークからのプラットフォームへのアクセスを制限し、監査ログを監視して不審な活動がないか確認することをお勧めします。また、OpenID Connectの設定を確認して、承認に必要なクレームが使用されていること、機密データを保護するための堅牢なセキュリティポリシーが実装されていることを確認することが重要です。定期的なペネトレーションテストも推奨されます。
OpenOLATをバージョン20.2.5以降にアップデートしてください。このバージョンでは、OIDC暗黙的フローでJWT署名を正しく検証することにより、認証バイパスの脆弱性が修正されています。
脆弱性分析と重要アラートをメールでお届けします。
JWT(JSON Web Token)は、JSONオブジェクトとして情報を安全に送信するためのオープンな標準です。認証と認可によく使用されます。
JWT署名の検証は、トークンが攻撃者によって改ざんされていないことを保証します。検証がない場合、攻撃者はトークンを修正して不正アクセスを得ることができます。
一時的な対策として、信頼できないネットワークからのプラットフォームへのアクセスを制限し、監査ログを監視してください。
はい、OpenID Connectの暗黙的フローを使用し、バージョン範囲が10.5.4から20.2.5までのすべてのOpenOLATインストールが脆弱です。
OpenID Connectについてさらに詳しい情報は、公式ウェブサイトで入手できます:https://openid.net/
CVSS ベクトル