CRITICALCVE-2026-33746CVSS 9.8

Convoy: JWT署名検証バイパスにより、任意のユーザーとして認証が可能

Q: CVE-2026-33746 — JWT偽造脆弱性 in Convoy Panelとは何ですか？

CVE-2026-33746は、Convoy PanelのJWT検証処理に不備があり、攻撃者がJWTトークンを偽造・改ざんできる脆弱性です。

Q: CVE-2026-33746 in Convoy Panelに影響を受けますか？

Convoy Panelのバージョンが3.9.0-betaから4.5.1未満の場合は影響を受けます。

Q: CVE-2026-33746 in Convoy Panelを修正するにはどうすればよいですか？

Convoy Panelをバージョン4.5.1にアップデートしてください。

Q: CVE-2026-33746は積極的に悪用されていますか？

現時点では確認されていませんが、悪用されるリスクがあります。

Q: CVE-2026-33746のConvoy Panel公式アドバイザリはどこで入手できますか？

Convoy Panelの公式ウェブサイトまたはGitHubリポジトリでアドバイザリをご確認ください。

プラットフォーム

コンポーネント

panel

修正版

3.9.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-33746は、Convoy PanelにおいてJWT（JSON Web Token）の検証処理に不備がある脆弱性です。この脆弱性により、攻撃者はJWTトークンの内容を改ざんし、認証をバイパスする可能性があります。影響を受けるバージョンは、3.9.0-betaから4.5.1未満です。バージョン4.5.1へのアップデートで脆弱性が修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がConvoy PanelのJWTトークンを偽造または改ざんすることを可能にします。具体的には、攻撃者はuser_uuidクレームを改ざんすることで、別のユーザーになりすましてシステムにアクセスできます。これにより、機密情報への不正アクセス、設定の変更、さらにはシステム全体の制御奪取といった深刻な被害が発生する可能性があります。Convoy PanelはKVMサーバー管理パネルであるため、この脆弱性が悪用されると、ホスティング事業者のサーバーインフラ全体に影響が及ぶ可能性があります。この脆弱性は、JWTの署名検証不備という点で、Log4Shellと同様の認証バイパスの危険性を孕んでいます。

悪用の状況

CVE-2026-33746は、CISA KEV（Known Exploited Vulnerabilities）カタログに追加される可能性があります。現時点では、公開されているPoC（Proof of Concept）は確認されていませんが、JWTの検証不備は悪用が容易なため、早期に悪用されるリスクがあります。NVD（National Vulnerability Database）への登録日は2026年4月2日です。

リスク対象者翻訳中…

Hosting businesses utilizing Convoy Panel to manage their KVM infrastructure are at significant risk. Specifically, deployments using older versions (3.9.0-beta through 4.5.0) are vulnerable. Shared hosting environments where multiple users share a single Convoy Panel instance are particularly exposed, as a compromise of one user's account could lead to broader system access.

検出手順翻訳中…

• linux / server:

journalctl -u convoy-panel | grep -i "JWT decode failed"

• generic web:

curl -I <convoy_panel_url>/api/v1/users/me | grep -i "Authorization: Bearer"

Inspect the Authorization header for malformed or suspicious JWT tokens. • generic web: Review Convoy Panel access logs for unusual user agent strings or IP addresses attempting to access sensitive endpoints.

攻撃タイムライン

2026-04-02Disclosure
disclosure
2026-04-03CISA KEV
kev

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.04% (13% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントpanel

ベンダーConvoyPanel

影響範囲修正版

>= 3.9.0-beta, < 4.5.1 – >= 3.9.0-beta, < 4.5.13.9.1

弱点分類 (CWE)

CWE-287 CWE-347

タイムライン

予約済み2026-03-23
公開日2026-04-02
EPSS 更新日2026-04-10

緩和策と回避策

この脆弱性への対応として、Convoy Panelをバージョン4.5.1にアップデートすることを推奨します。もしアップデートが困難な場合は、一時的な緩和策として、JWTの検証設定を強化し、StrictValidAt制約に加えてSignedWith制約も適用することを検討してください。また、WAF（Web Application Firewall）やリバースプロキシを設定し、不正なJWTトークンを検知・遮断するルールを実装することも有効です。Convoy Panelのログを監視し、不審なアクセスやJWTトークンの改ざんの兆候がないか確認することも重要です。アップデート後、JWTトークンの検証が正しく行われていることを確認してください。

修正方法

Convoy Panelをバージョン4.5.1以降にアップデートしてください。このバージョンはJWT署名検証のバイパス脆弱性を修正しています。アップデートにより、JWTトークンが正しく検証されるようになり、任意のユーザーとしての認証を防ぐことができます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33746 — JWT偽造脆弱性 in Convoy Panelとは何ですか？