Vikunjaにおいて、OIDCログインパス経由でTOTP二要素認証を回避される脆弱性

この認証バイパス脆弱性は、攻撃者がVikunjaインスタンスへの認証を回避することを可能にします。TOTP二要素認証が有効になっているユーザーであっても、OIDCメールバックアップメカニズムを通じて認証されると、二要素認証がスキップされます。これにより、攻撃者は機密性の高いタスクデータ、ユーザー情報、およびシステム設定に不正にアクセスできる可能性があります。また、この脆弱性を悪用することで、他のユーザーアカウントを乗っ取ったり、システム管理者の権限を奪取したりする可能性も考えられます。この脆弱性は、類似のOIDC実装における認証バイパス攻撃と同様のリスクをもたらします。

Organizations and individuals using Vikunja for task management, particularly those relying on OpenID Connect (OIDC) for authentication and enabling TOTP two-factor authentication, are at risk. Shared hosting environments where multiple Vikunja instances share the same server resources could also be affected if one instance is compromised.

• linux / server:

journalctl -u vikunja -g "oidc callback"

• generic web:

curl -I https://your-vikunja-instance/oidc/callback | grep -i "WWW-Authenticate: Bearer"

1. 2026-04-10Disclosure

   disclosure

1. 予約済み2026-03-30
2. 公開日2026-04-10
3. 更新日2026-04-13
4. EPSS 更新日2026-04-18

この脆弱性への最も効果的な対策は、Vikunjaをバージョン2.3.0以降にアップグレードすることです。アップグレードが一時的にシステムを不安定にする可能性がある場合は、バックアップを作成してからアップグレードを実行してください。アップグレードが不可能な場合は、OIDC認証を一時的に無効にするか、TOTP二要素認証が必須となるように設定することを検討してください。WAF（Web Application Firewall）を導入し、不正なOIDCコールバックリクエストをブロックすることも有効です。アップグレード後、TOTP二要素認証が正しく機能していることを確認してください。