プラットフォーム
go
コンポーネント
nginx
修正版
7.15.3
7.15.2
OAuth2 Proxyにおいて、設定に依存する認証バイパスの脆弱性が確認されました。この脆弱性は、OAuth2 Proxyがauthrequest方式の連携(例えば、nginxのauthrequest)を使用しており、かつ--ping-user-agentオプションが設定されているか、--gcp-healthchecksオプションが有効になっている場合に発生します。影響を受ける環境では、設定されたヘルスチェックUser-Agentを持つリクエストが、パスに関わらず認証されたものとして扱われ、保護されたリソースへの不正アクセスを許してしまう可能性があります。
この脆弱性を悪用されると、認証を回避し、保護されたバックエンドリソースに直接アクセスすることが可能になります。攻撃者は、OAuth2 Proxyの設定されたヘルスチェックUser-Agentを偽装したリクエストを送信することで、認証プロセスを迂回し、本来アクセス権限のないリソースにアクセスできます。これにより、機密情報の漏洩、データの改ざん、さらにはシステム全体の制御権の奪取といった深刻な被害が発生する可能性があります。この脆弱性は、OAuth2 Proxyが認証のゲートウェイとして機能している場合、特に危険です。攻撃者は、この脆弱性を利用して、OAuth2 Proxyを迂回し、バックエンドシステムに直接侵入する可能性があります。
この脆弱性は、2026年4月14日に公開されました。現時点では、KEV(Kernel Exploitability Tracking)への登録状況は不明です。EPSS(Exploit Prediction Scoring System)スコアは、公開情報から判断できません。公的に利用可能なPoC(Proof of Concept)は確認されていませんが、脆弱性の性質上、比較的容易に悪用される可能性があると考えられます。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の動向を把握することが重要です。
Organizations utilizing OAuth2 Proxy for authentication in conjunction with Nginx's auth_request directive are at significant risk. This includes deployments relying on health check endpoints for monitoring and those using --ping-user-agent or --gcp-healthchecks for integration with cloud platforms. Shared hosting environments where OAuth2 Proxy is deployed as a shared service are particularly vulnerable.
• linux / server:
journalctl -u oauth2-proxy | grep -i "health check"• generic web:
curl -I -H "User-Agent: <health_check_user_agent>" https://<protected_resource>Inspect the response headers for signs of unauthorized access. • generic web:
grep -r "--ping-user-agent" /etc/nginx/conf.d/*
grep -r "--gcp-healthchecks" /etc/nginx/conf.d/*Check Nginx configuration files for the presence of these flags.
disclosure
patch
エクスプロイト状況
EPSS
0.09% (25% パーセンタイル)
CISA SSVC
この脆弱性への対応策として、まずOAuth2 Proxyをバージョン7.15.2以上にアップデートすることを強く推奨します。アップデートが直ちに困難な場合は、--ping-user-agentオプションおよび--gcp-healthchecksオプションを無効化することを検討してください。また、nginxの設定において、auth_requestのアクセス制限を強化し、OAuth2 Proxyへのアクセスを厳格に管理することも有効です。WAF(Web Application Firewall)を導入し、不正なUser-Agentを持つリクエストを検知・遮断するルールを設定することも有効な対策となります。アップデート後、OAuth2 Proxyが正しく動作していることを確認し、認証が適切に機能していることを検証してください。
Actualice OAuth2 Proxy a la versión 7.15.2 o superior para mitigar la vulnerabilidad. Esta actualización corrige el problema al garantizar que las solicitudes con el User-Agent de verificación de estado de salud sean correctamente autenticadas. Asegúrese de que la configuración de --ping-user-agent o --gcp-healthchecks sea apropiada para su entorno.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-34457は、OAuth2 Proxyにおける設定に依存する認証バイパスの脆弱性です。特定の条件下で、不正なリクエストが認証を回避し、保護されたリソースにアクセスできるようになります。
OAuth2 Proxyをauth_request方式で連携させ、--ping-user-agentまたは--gcp-healthchecksが有効になっている場合、影響を受ける可能性があります。
OAuth2 Proxyをバージョン7.15.2以上にアップデートしてください。アップデートが困難な場合は、--ping-user-agentおよび--gcp-healthchecksオプションを無効化することを検討してください。
現時点では公的なPoCは確認されていませんが、脆弱性の性質上、悪用される可能性はあります。
OAuth2 Proxyの公式ウェブサイトまたはGitHubリポジトリで、関連するセキュリティアドバイザリをご確認ください。
CVSS ベクトル
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。