セキュリティ

SECURITY

公開：2024-11-22

【CVE-2024-3501】lunary-ai/lunaryでシングルユーストークン漏洩の脆弱性、バージョン1.2.6で修正完了

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• lunary-ai/lunaryで情報漏洩の脆弱性が発見
• シングルユーストークンが不正アクターに露呈
• バージョン1.2.6で脆弱性が修正完了

lunary-ai/lunary 1.2.5までの情報漏洩の脆弱性

ProtectAIは2024年11月14日、lunary-ai/lunaryのバージョン1.2.5以前において重大な情報漏洩の脆弱性を発見したことを公開した。GET /v1/users/meとGET /v1/users/me/orgのAPIエンドポイントにおいて、パスワードリセットやアカウント認証などに使用されるシングルユーストークンが応答に含まれており、不正アクターによる悪用の可能性が指摘されている。^[1]

この脆弱性は【CVE-2024-3501】として識別されており、CVSSスコアは9.1（Critical）と評価されている。攻撃に必要な特権レベルは不要で、攻撃の複雑さも低いとされており、ユーザーの認証情報が悪用される危険性が非常に高い状態であった。

開発チームはこの問題を重く受け止め、バージョン1.2.6において、ユーザー向けクエリでのシングルユーストークンの露出を防ぐ対策を実装した。この対応により、APIエンドポイントからの機密情報の漏洩リスクが大幅に軽減されることとなった。

lunary-ai/lunaryの脆弱性詳細

シングルユーストークンについて

シングルユーストークンとは、パスワードリセットやアカウント認証などのセキュリティ上重要な操作を一度だけ実行できる使い捨ての認証情報のことを指す。主な特徴として、以下のような点が挙げられる。

• 一度使用すると無効化される一時的な認証情報
• パスワードリセットなどの重要な操作に使用
• 有効期限が設定され時間制限がある

lunary-ai/lunaryの脆弱性では、APIエンドポイントの応答にシングルユーストークンが含まれていたことで、不正アクターがユーザーの認証情報を取得できる状態となっていた。この問題は深刻なセキュリティリスクとなり得るため、バージョン1.2.6でシングルユーストークンの露出を防ぐ対策が実装された。

lunary-ai/lunaryの脆弱性対応に関する考察

今回の脆弱性対応では、シングルユーストークンの露出を防ぐ修正が速やかに実施されたことは評価に値する。セキュリティ上重要な認証情報の取り扱いに関する問題が早期に発見され、開発チームが迅速に対応したことで、潜在的な被害を最小限に抑えることができたと考えられる。

しかし今後は、APIエンドポイントの設計段階でセキュリティレビューをより厳密に行う必要があるだろう。特に認証情報や個人情報を扱うエンドポイントについては、レスポンスに含まれる情報の精査を徹底し、必要最小限の情報のみを返すよう設計することが重要となる。

また、シングルユーストークンの管理方法についても、より安全な実装方法を検討する余地がある。トークンの有効期限や使用回数の制限、アクセス制御の強化など、多層的な防御策を導入することで、セキュリティレベルの向上が期待できるだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-3501, (参照 24-11-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧