出典: Security NEXT – https://www.security-next.com/181917
「Parse Server」に認証回避の脆弱性が発見 – 別アプリのトークンで不正ログイン可能に
バックエンド基盤構築に広く利用されているnpmパッケージ「Parse Server」において、認証を回避される脆弱性が明らかになりました。この脆弱性により、他のアプリケーション向けに発行された有効なトークンを使って、異なるアプリの認証を不正に突破できる恐れがあります。
主要なポイント
- 脆弱性の対象:「Parse Server」のOAuth認証アダプタ(Google、Apple、Facebook)に存在。
- 脆弱性の内容:JWT(JSON Web Token)の検証処理に不備があり、別アプリ用の有効なトークンで認証をバイパス可能。
- 識別番号と評価:脆弱性は「CVE-2026-30863」として登録され、CVSSv4.0でベーススコア9.3、最高レベルの「クリティカル」と評価。
- 対応状況:開発元は「Parse Server」バージョン9.5.0-alpha.11および8.6.10で修正パッチをリリース済み。
- 影響範囲:OAuth認証を利用する多くのアプリケーションで不正ログインのリスクが存在。
技術的な詳細や背景情報
「Parse Server」は、モバイルやウェブアプリのバックエンドを簡単に構築できるオープンソースのサーバーサイドフレームワークです。OAuth認証はGoogle、Apple、Facebookなどの外部認証サービスを利用し、ユーザー認証を行う仕組みです。
今回の脆弱性は、JWT(JSON Web Token)という認証情報を安全にやり取りするためのトークンの検証処理に問題があります。JWTは署名付きのトークンであり、正当な発行元からのものであることを検証することで安全性を保っていますが、Parse ServerのOAuthアダプタではトークンの発行元(アプリケーションIDなど)を正しく検証できていませんでした。
その結果、あるアプリ向けに発行された有効なJWTを持っていれば、別のアプリの認証をバイパスしてログインできてしまう状況が発生しました。これは認証の根幹を揺るがす重大な問題です。
影響や重要性
この脆弱性は、認証の信頼性を損なうため、悪用されると不正アクセスや情報漏洩につながるリスクが非常に高いです。特に複数のアプリケーションを同じParse Server環境で運用している場合、攻撃者は一つのアプリで取得したトークンを使って他のアプリに不正ログインできるため、被害が拡大する恐れがあります。
CVSSv4.0で最高評価の「クリティカル」とされていることからも、早急な対応が必要であることがわかります。開発者や運用者は速やかに修正済みのバージョンにアップデートし、影響を受ける環境の確認と対策を行うべきです。
まとめ
「Parse Server」のOAuth認証アダプタに存在したJWT検証の不備により、別アプリ用トークンで認証を回避される脆弱性(CVE-2026-30863)が発見されました。認証の根幹を揺るがす重大な問題であり、CVSSv4.0で「クリティカル」と評価されています。開発元は既に修正パッチをリリースしているため、利用者は速やかに最新版へのアップデートを行い、不正アクセスリスクの軽減に努めることが重要です。
