無料スキャン
HIGHCVE-2026-46419CVSS 7.5

CVE-2026-46419: Impersonation in Yubico webauthn-server-core

プラットフォーム

java

コンポーネント

yubico/java-webauthn-server

修正版

2.8.2

NVDで見る
保存

CVE-2026-46419は、Yubico webauthn-server-core (java-webauthn-server)において発見されたなりすまし脆弱性です。この脆弱性は、第二要素認証フローにおける戻り値のチェック処理の誤りにより、攻撃者が認証を偽装し、不正なアクセスを試みる可能性があります。影響を受けるバージョンは2.8.0から2.8.2です。Yubicoはバージョン2.8.2でこの脆弱性を修正しました。

Java / Maven

このCVEがあなたのプロジェクトに影響するか確認

pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。

pom.xml をアップロード対応フォーマット: pom.xml · build.gradle

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者は認証プロセスを欺き、正規のユーザーとしてシステムにアクセスできる可能性があります。具体的には、攻撃者はなりすまし認証を行い、機密情報へのアクセス、システム設定の変更、さらにはシステム全体の制御奪取を試みる可能性があります。認証プロセスが侵害されることで、WebAuthnを利用するアプリケーションやサービス全体のセキュリティが脅かされます。この脆弱性は、認証の信頼性を損ない、広範囲な被害をもたらす可能性があります。

悪用の状況

この脆弱性は、公開されており、攻撃者による悪用が懸念されます。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、WebAuthnの認証プロセスを標的とした攻撃が増加傾向にあるため、注意が必要です。NVDおよびCISAは2026年5月14日にこの脆弱性を公開しました。EPSSスコアは、現時点では評価待ちです。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート1 脅威レポート

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.5HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityHigh悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
高 — 競合条件、非標準設定、または特定の状況が必要。悪用が難しい。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントyubico/java-webauthn-server
ベンダーYubico
最小バージョン2.8.0
最大バージョン2.8.2
修正版2.8.2

弱点分類 (CWE)

CWE-253

タイムライン

  1. 予約済み
  2. 公開日

緩和策と回避策

この脆弱性への最善の対応は、Yubico webauthn-server-coreをバージョン2.8.2にアップデートすることです。アップデートが困難な場合は、一時的な緩和策として、認証プロセスにおける追加の検証メカニズムを導入することを検討してください。例えば、多要素認証を強化したり、異常な認証試行を検知するための監視システムを構築したりすることが有効です。また、Webアプリケーションファイアウォール(WAF)を使用して、悪意のある認証リクエストをブロックすることも有効な手段です。

修正方法翻訳中…

Actualice a la versión 2.8.2 o superior para corregir la vulnerabilidad de impersonación. Esta actualización corrige una verificación incorrecta del valor de retorno de una función en el flujo de segundo factor, mitigando el riesgo de ataques de suplantación de identidad.

よくある質問

CVE-2026-46419 — なりすまし in Yubico webauthn-server-coreとは何ですか?

CVE-2026-46419は、Yubico webauthn-server-core (バージョン2.8.0–2.8.2)における、第二要素フローの戻り値チェックの不備によるなりすまし脆弱性です。攻撃者はこの脆弱性を悪用して、認証を偽装し不正アクセスを試みることができます。

CVE-2026-46419 in Yubico webauthn-server-coreの影響を受けていますか?

Yubico webauthn-server-coreのバージョンが2.8.0から2.8.2を使用している場合は、この脆弱性の影響を受けています。バージョン2.8.2にアップデートすることで、脆弱性を解消できます。

CVE-2026-46419 in Yubico webauthn-server-coreを修正するにはどうすればよいですか?

Yubico webauthn-server-coreをバージョン2.8.2にアップデートしてください。アップデートが困難な場合は、一時的な緩和策として、認証プロセスにおける追加の検証メカニズムを導入することを検討してください。

CVE-2026-46419は積極的に悪用されていますか?

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、WebAuthnの認証プロセスを標的とした攻撃が増加傾向にあるため、注意が必要です。

CVE-2026-46419に関するYubicoの公式アドバイザリはどこで入手できますか?

Yubicoの公式アドバイザリは、Yubicoのセキュリティアドバイザリページで確認できます。詳細はYubicoのウェブサイトを参照してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
Java / Maven

このCVEがあなたのプロジェクトに影響するか確認

pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。

pom.xml をアップロード対応フォーマット: pom.xml · build.gradle
scanZone.liveBadgescanZone.eyebrow

Java / Mavenプロジェクトを今すぐスキャン — アカウント不要

Upload your pom.xml and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...