HIGHCVE-2026-33175CVSS 8.8

OAuthenticator: 未検証のメールクレームを介した Auth0OAuthenticator の認証バイパス

Q: CVE-2026-33175 — 認証バイパス in oauthenticatorとは何ですか？

CVE-2026-33175は、oauthenticatorのバージョン0.0.0～17.4.0未満に存在する認証バイパスの脆弱性です。攻撃者が未検証のメールアドレスでJupyterHubにログインできる可能性があります。

Q: CVE-2026-33175 in oauthenticatorに影響を受けますか？

oauthenticatorのバージョンが17.4.0より前の場合は、影響を受けます。JupyterHubのバージョンとoauthenticatorのバージョンを確認し、必要に応じてアップグレードしてください。

Q: CVE-2026-33175 in oauthenticatorを修正するにはどうすればよいですか？

oauthenticatorをバージョン17.4.0以降にアップグレードしてください。アップグレードが難しい場合は、Auth0テナントでメールアドレスの検証を強化することを検討してください。

Q: CVE-2026-33175のoauthenticator公式アドバイザリはどこで入手できますか？

oauthenticatorの公式アドバイザリは、プロジェクトのGitHubリポジトリで確認できます。https://github.com/jupyterhub/oauthenticator

プラットフォーム

python

コンポーネント

oauthenticator

修正版

17.4.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

oauthenticatorは、OAuth2アイデンティティプロバイダをJupyterHubで使用するためのソフトウェアです。バージョン17.4.0より前のバージョンでは、認証バイパスの脆弱性が存在し、攻撃者が未検証のメールアドレスを使用してJupyterHubにログインできる可能性があります。この脆弱性はバージョン17.4.0で修正されており、ユーザー名制御とアカウント乗っ取りのリスクを軽減します。

影響と攻撃シナリオ

この認証バイパス脆弱性は、攻撃者がAuth0テナントで未検証のメールアドレスを使用することで、JupyterHubに不正にログインすることを可能にします。攻撃者は、ユーザー名クレームとしてメールアドレスが使用されている場合、ユーザー名を制御し、アカウントを乗っ取ることができます。これにより、機密データへのアクセス、システム設定の変更、さらにはJupyterHub環境全体の制御を奪われる可能性があります。特に、認証プロセスに依存する重要なタスクを実行している環境では、深刻な影響が考えられます。

悪用の状況

この脆弱性は2026年4月3日に公開されました。現時点では、公開されているPoCは確認されていませんが、認証バイパスの脆弱性は悪用される可能性が高いため、早急な対応が必要です。CISA KEVリストへの登録状況は不明です。

リスク対象者翻訳中…

Organizations utilizing JupyterHub with oauthenticator for authentication, particularly those relying on Auth0 for identity management, are at risk. This includes research institutions, data science teams, and educational organizations where JupyterHub is used for collaborative coding and data analysis. Legacy JupyterHub deployments with older oauthenticator versions are especially vulnerable.

検出手順翻訳中…

• python / JupyterHub:

import subprocess
result = subprocess.run(['pip', 'show', 'oauthenticator'], capture_output=True, text=True)
if 'Version' in result.stdout:
    version = result.stdout.split('Version: ')[1].split('\n')[0]
    if version < '17.4.0':
        print('Vulnerability detected: oauthenticator version is < 17.4.0')
else:
    print('oauthenticator not found.')

• python / JupyterHub: Check JupyterHub logs for login attempts using unverified email addresses from Auth0. • generic web: Monitor JupyterHub login endpoints for unusual activity or requests from suspicious IP addresses.

攻撃タイムライン

2026-04-03Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

0.10% (28% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントoauthenticator

ベンダーjupyterhub

影響範囲修正版

< 17.4.0 – < 17.4.017.4.1

弱点分類 (CWE)

CWE-287 CWE-290

タイムライン

予約済み2026-03-17
公開日2026-04-03
更新日2026-04-07
EPSS 更新日2026-04-11

公開後-7日でパッチ適用

緩和策と回避策

この脆弱性への最善の対応は、oauthenticatorをバージョン17.4.0以降にアップグレードすることです。アップグレードがシステムに影響を与える場合は、一時的な回避策として、Auth0テナントでメールアドレスの検証を強化することを検討してください。また、JupyterHubへのアクセスを制限し、不要なユーザーアカウントを削除することも有効です。WAFやプロキシサーバーを使用している場合は、不正なログイン試行を検出するためのルールを実装することを推奨します。

修正方法

oauthenticator をバージョン 17.4.0 以降にアップデートすることで、認証バイパスの脆弱性を軽減します。このアップデートは、JupyterHub へのログインを許可する前にメールクレームを検証することで問題を修正し、アカウントの制御を奪われる可能性を防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33175 — 認証バイパス in oauthenticatorとは何ですか？