MEDIUMCVE-2026-5724

CVE-2026-5724: Authentication Bypass in go.temporal.io/server

プラットフォーム

コンポーネント

go.temporal.io/server

修正版

1.30.4

1.29.6

1.28.4

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-5724は、go.temporal.io/serverのフロントエンドgRPCサーバーにおける認証バイパスの脆弱性です。この脆弱性により、認証されていない攻撃者がレプリケーションストリームを開き、機密データを盗み出す可能性があります。影響を受けるバージョンは1.28.0から1.28.3までのバージョンです。この問題は2026年4月10日に公開され、1.28.4へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、認証されていない攻撃者がgo.temporal.io/serverのフロントエンドポートにネットワークアクセスを持つ場合に悪用される可能性があります。攻撃者は、認証なしでレプリケーションストリームを開き、設定されたレプリケーションが存在する場合、機密データを盗み出す可能性があります。この攻撃は、ワークフローの実行に関する機密情報や、Temporalサーバーの内部状態に関する情報へのアクセスを可能にする可能性があります。攻撃者は、この情報を利用して、Temporal環境をさらに侵害したり、機密データを外部に漏洩させたりする可能性があります。この脆弱性は、Temporal環境の機密性と完全性を脅かす重大なリスクをもたらします。

悪用の状況

CVE-2026-5724は、CISA KEVカタログに登録されていません。現時点では、この脆弱性の公開されたPoCは確認されていませんが、認証バイパスの脆弱性は一般的に悪用される可能性が高いため、注意が必要です。NVD（National Vulnerability Database）は2026年4月10日にこの脆弱性を公開しました。

リスク対象者翻訳中…

Organizations utilizing go.temporal.io/server for workflow orchestration, particularly those with exposed frontend ports and replication configured, are at risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other users' workflows.

検出手順翻訳中…

• go / server:

ps aux | grep 'temporal server' | grep 'AdminService/StreamWorkflowReplicationMessages'

• generic web:

curl -I <temporal_server_ip>:7233/AdminService/StreamWorkflowReplicationMessages

• generic web:

grep -r 'AdminService/StreamWorkflowReplicationMessages' /etc/temporal/temporal.yaml

攻撃タイムライン

2026-04-10Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.12% (31% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントgo.temporal.io/server

ベンダーosv

影響範囲修正版

1.24.0 – 1.30.31.30.4

1.24.0 – 1.29.51.29.6

1.24.0 – 1.28.31.28.4

—1.28.4

弱点分類 (CWE)

CWE-306

タイムライン

予約済み2026-04-06
公開日2026-04-10
更新日2026-04-13
EPSS 更新日2026-04-18

緩和策と回避策

この脆弱性への対応策として、まず、go.temporal.io/serverをバージョン1.28.4にアップデートすることを強く推奨します。アップデートが利用できない場合、一時的な回避策として、フロントエンドポートへのネットワークアクセスを制限することを検討してください。ファイアウォールルールを設定して、信頼できるネットワークからのアクセスのみを許可します。また、WAF（Web Application Firewall）を導入し、認証されていないレプリケーションストリームへのアクセスをブロックすることも有効です。アップデート後、Temporalサーバーが正常に動作していることを確認し、レプリケーションストリームが正しく認証されていることを検証してください。

修正方法

Temporalをバージョン1.28.4以降にアップデートして、脆弱性を軽減してください。レプリケーションエンドポイントにおける認証の欠如により、ネットワークアクセスを持つ攻撃者がデータを外部に持ち出す可能性があります。レプリケーションの設定が正しく構成され、クラスターが保護されていることを確認してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5724 — 認証バイパスはgo.temporal.io/serverで何ですか？

CVE-2026-5724は、go.temporal.io/serverのフロントエンドgRPCサーバーにおける認証バイパスの脆弱性です。認証されていない攻撃者がレプリケーションストリームを開き、データ漏洩を引き起こす可能性があります。

CVE-2026-5724はgo.temporal.io/serverで影響を受けますか？

はい、go.temporal.io/serverのバージョン1.28.0から1.28.3までが影響を受けます。バージョン1.28.4にアップデートしてください。

CVE-2026-5724はgo.temporal.io/serverをどのように修正しますか？

go.temporal.io/serverをバージョン1.28.4にアップデートしてください。アップデートが利用できない場合は、フロントエンドポートへのネットワークアクセスを制限することを検討してください。

CVE-2026-5724は積極的に悪用されていますか？

現時点では、公開されたPoCは確認されていませんが、認証バイパスの脆弱性は一般的に悪用される可能性が高いため、注意が必要です。

CVE-2026-5724のgo.temporal.io/serverの公式アドバイザリはどこで入手できますか？

公式アドバイザリは、go.temporal.ioのセキュリティアナウンスメントで確認できます。