Fullstep V5において、登録プロセスにおけるアクセス制御の不備が確認されました。この脆弱性を悪用されると、認証されていない攻撃者が有効なJWT(JSON Web Token)トークンを取得し、認証済みAPIリソースとやり取りすることが可能になります。影響を受けるバージョンは5.0.0から5.30.07までです。ベンダーは最新バージョンへのアップデートを推奨しています。
この脆弱性を悪用された場合、攻撃者は認証なしにAPIリソースにアクセスできるようになります。これにより、機密情報が漏洩する可能性があります。攻撃者は取得したJWTトークンを使用して、APIを通じてデータの閲覧、変更、削除など、様々な不正な操作を実行できる可能性があります。特に、APIが機密性の高い情報を扱う場合、深刻な被害につながる可能性があります。この脆弱性は、認証プロセスにおけるアクセス制御の設計上の欠陥に起因しており、類似の脆弱性は他のアプリケーションでも発生する可能性があります。
本脆弱性は2026年4月22日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、JWTトークンの取得は比較的容易であるため、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。攻撃者によるスキャンや悪用試行に備え、早期の対策を講じることを推奨します。
Organizations utilizing Fullstep V5 in production environments, particularly those relying on its API for critical business functions, are at risk. Systems with weak API authentication policies or those lacking robust monitoring for suspicious JWT activity are especially vulnerable. Shared hosting environments where multiple users share the same Fullstep instance could also be affected.
disclosure
エクスプロイト状況
EPSS
0.07% (20% パーセンタイル)
CISA SSVC
Fullstepベンダーが提供する最新バージョンへのアップデートが最も効果的な対策です。アップデートが困難な場合は、APIへのアクセスを厳格に制限するWAF(Web Application Firewall)やリバースプロキシの設定を検討してください。また、JWTトークンの有効期限を短く設定し、定期的にローテーションを実施することで、リスクを軽減できます。APIへのアクセス制御を強化し、不正なアクセスを検知するためのログ監視体制を構築することも重要です。
この脆弱性を軽減するために、Fullstepの最新バージョンにアップデートしてください。具体的なアップデート手順については、Fullstepの公式ドキュメントを参照し、環境への影響を完全に理解してください。APIリソースを保護するために、より厳格なアクセス制御を実装してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-5749は、Fullstep V5の登録プロセスにおけるアクセス制御の不備により、認証されていないユーザーがJWTトークンを取得できる脆弱性です。
Fullstep V5のバージョンが5.0.0から5.30.07の場合、影響を受ける可能性があります。最新バージョンへのアップデートを確認してください。
Fullstepベンダーが提供する最新バージョンへのアップデートが推奨されます。アップデートが困難な場合は、WAFやアクセス制御の強化を検討してください。
現時点では公的なPoCは確認されていませんが、悪用される可能性は否定できません。
Fullstepの公式ウェブサイトまたはセキュリティ通知をご確認ください。