django-allauth にオープンリダイレクトの脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月5日、django-allauthにおけるオープンリダイレクトの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社フォアーゼットの蔀綾人氏、GMOサイバーセキュリティbyイエラエ株式会社の船引敬佑氏が報告を行っている。影響を受けるシステムは以下の通り。
django-allauth 65.14.1より前のバージョン
Djangoアプリケーションにユーザー認証を導入するためのパッケージ django-allauth には、SAML IdPによるSSOが有効化されている場合(デフォルトでは無効)にオープンリダイレクトの脆弱性(CVE-2026-27982)が存在し、攻撃者が細工したURLを介してユーザーを任意の外部ウェブサイトへリダイレクトさせる可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
django-allauth 65.14.1より前のバージョン
Djangoアプリケーションにユーザー認証を導入するためのパッケージ django-allauth には、SAML IdPによるSSOが有効化されている場合(デフォルトでは無効)にオープンリダイレクトの脆弱性(CVE-2026-27982)が存在し、攻撃者が細工したURLを介してユーザーを任意の外部ウェブサイトへリダイレクトさせる可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
Vocabulary
General
Proper noun
JLPT N2
JLPT N1
| # | 言葉 | 意味 |
|---|---|---|
| 2 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 2 | 株式会社 | かぶしきがいしゃ (株式会社) : stock company; corporation; kabushiki kaisha; KK |
| 2 | 氏 | うじ (氏) : 1. family name; lineage; birth 2. clan |
| 1 | 独立行政法人 | どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency) |
| 1 | 情報処理推進機構 | じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization) |
| 1 | および | および (及び) : and; as well as |
| 1 | 一般社団法人 | いっぱんしゃだんほうじん (一般社団法人) : general incorporated association |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 蔀 | しとみ (蔀) : latticed shutters (in traditional Japanese and Chinese architecture) |
| 1 | 綾人 | あやと (綾人) : Ayato (masc) |
| 1 | 船引 | ふなひき (船引) : Funahiki (place; surname) |
| 1 | 敬佑 | けいすけ (敬佑) : Keisuke (given) |
| 1 | 報告 | ほうこく (報告) : report; information |
| 1 | 影響 | えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on |
| 1 | 通り | とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic |
| 1 | 認証 | にんしょう (認証) : 1. certification; attestation; authentication; confirmation 2. Imperial attestation |
| 1 | 導入 | どうにゅう (導入) : introduction; bringing in; leading in; installation |
| 1 | 有効 | ゆうこう (有効) : 1. valid; effective 2. yuko (judo) |
| 1 | 化 | か (化) : action of making something; -ification |
| 1 | 無効 | むこう (無効) : invalid; void; ineffective; unavailable |
| 1 | 存在 | そんざい (存在) : existence; being |
| 1 | 攻撃者 | こうげきしゃ (攻撃者) : aggressor; assailant; invader |
| 1 | 細工 | さいく (細工) : 1. work; workmanship; craftsmanship; handiwork 2. artifice; trick; device; tampering; doctoring |
| 1 | 介する | かいする (介する) : 1. to use as an intermediary 2. to worry; to mind; to care |
| 1 | 任意 | にんい (任意) : 1. optional; voluntary; arbitrary; random; discretionary; facultative; spontaneous; any 2. arbitrary |
| 1 | 外部 | がいぶ (外部) : 1. outside (e.g. of a building); exterior 2. outside (of a group, company, etc.); outside world |
| 1 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 1 | 開発者 | かいはつしゃ (開発者) : developer |
| 1 | 提供 | ていきょう (提供) : 1. offer; tender; providing; supplying; making available; donating (blood, organs, etc.) 2. sponsoring (a TV program) |
| 1 | 情報 | じょうほう (情報) : 1. information; news; intelligence; advices 2. information; data contained in characters, signals, code, etc. |
| 1 | もと | もと (元) : 1. origin; source 2. base; basis; foundation; root |
| 1 | 最新版 | さいしんばん (最新版) : latest version; latest edition |
| 1 | 呼びかける | よびかける (呼びかける) : 1. to call out to; to hail; to address 2. to appeal |