2026年06月24日の重要脆弱性: Poweradminに認証フローの脆弱性 (1件)
/ 3 min read
Table of Contents
概要
本日公開された脆弱性情報では、CVSSスコア9.0を超えるCriticalな脆弱性が1件報告されています。特に注目すべきは、PoweradminにおけるHost Header Injectionの脆弱性であり、認証フローが悪用されることで、認証情報なしにアカウントが乗っ取られる可能性があります。対象となるシステムをご利用の方は、速やかな情報収集とパッチ適用が求められます。
CVE-2026-54588: Poweradminにおける認証フローのHost Header Injection
- CVSS: 9.6 (Critical)
- 影響: poweradmin / poweradmin — versions: < 4.2.4 (affected), >= 4.3.0, < 4.3.3 (affected)
概要
PowerDNSサーバーのウェブベースDNS管理ツールであるPoweradminに、深刻なHost Header Injectionの脆弱性 (CVE-2026-54588) が発見されました。バージョン4.2.4未満、および4.3.0から4.3.3未満のバージョンにおいて、OIDC、SAML、ログアウトの認証フローにおけるコールバックURLの構築に、攻撃者が制御可能なHTTP_HOSTリクエストヘッダーが検証なしで使用されます。これにより、認証されていない攻撃者は、redirect_uriを偽装し、IDプロバイダーが被害者の認証コードを攻撃者が制御するサーバーへリダイレクトさせることが可能です。結果として、認証情報なしで完全なアカウント乗っ取りにつながる可能性があります。
推奨対応
本脆弱性は、Poweradminのバージョン4.2.4および4.3.3で修正されています。影響を受けるバージョンをご利用の場合は、速やかにこれらの修正済みバージョンへアップグレードすることを強く推奨します。詳細については、提供されているGitHubセキュリティアドバイザリを参照し、影響範囲と対応策を十分に確認してください。