ログイン基盤Casdoorに認証回避の穴9件 CVE-2026-9090ほか修正版なし
米CERT/CCが2026年5月28日、オープンソースのログイン基盤Casdoorに認証回避とアカウント乗っ取りにつながる脆弱性を9件まとめて公開しました。対象は2.362.0以前で、修正版はまだ出ていません。
堀川 慎
Backend Engineer / AWS / Django / Go
米CERT/CCが2026年5月28日、オープンソースのログイン基盤Casdoorに認証回避とアカウント乗っ取りにつながる脆弱性を9件まとめて公開しました。対象は2.362.0以前で、修正版はまだ出ていません。
米CERT/CCが2026年5月28日、オープンソースのログイン基盤Casdoorに認証回避とアカウント乗っ取りにつながる脆弱性を9件まとめて公開しました(VU#780781、国内ではJVNVU#95478525)。影響を受けるのはバージョン2.362.0およびそれ以前で、9件のうちのいくつかを組み合わせると、正規の利用者になりすまして、管理者を含む任意のアカウントとしてログインできてしまう状態です。さらに厄介なのは、これらをふさいだ修正版がまだ出ていないことです。CERT/CCは2026年3月26日にCasdoor開発側へ通知しましたが連絡がつかず(uncoordinated=開発側と調整できないままの公開)、公開時点でパッチは提供されていません。
Casdoorは、1つのIDで複数のアプリやサービスにまとめてログインできるようにする「シングルサインオン(SSO)」基盤です。SSOとは、社内のメール・チャット・人事システム・経費精算などを使うたびに別々のパスワードを入れる代わりに、入口で一度だけ本人確認をすれば配下の全アプリに入れる仕組みのことです。Casdoorはアクセス制御ライブラリCasbin系のコミュニティが開発しており、自社サーバーやクラウドに自前で立てて使う企業・開発者が多いソフトです。そのログインの中枢に、本人確認をすり抜けられる穴が同時に9件見つかった、というのが今回の出来事です。
9件はすべて認証・アクセス管理に関わるもので、CERT/CCはCVE-2026-9090からCVE-2026-9098までの番号を割り当てています。CERT/CCのnoteおよびJVNはいずれもCVSS(脆弱性の深刻度を0〜10で示す共通指標)を掲載していません。ただし、米国立標準技術研究所の脆弱性データベースNVDでは、CVE-2026-9090に対してCISAの補助評価(CISA-ADP)として9.1(Critical)が併記されています(NVD自身の評価は未確定)。
Casdoorとは何か
Casdoorは、ログイン・本人確認・権限管理をまとめて引き受ける「IDの中央管理」ソフトです。OAuth 2.0、OIDC、SAML、LDAPといった認証の業界規格に幅広く対応し、社内システムやSaaS、自社アプリのログイン窓口をひとつにまとめます。GitHubのリポジトリは約1万2千スターを集める定番のオープンソースで、Casbin系のコミュニティが活発に開発を続けています。月額課金のクラウド型ID基盤(Auth0やOktaなど)を避け、自前で運用したい組織に選ばれてきました。
今回問題になった脆弱性の多くは、Casdoorが対応する認証規格のひとつ「SAML」の処理に集中しています。SAMLとは、社外の身元確認サービス(IdP=Identity Provider)が「この人は本人です」と署名付きの証明書(アサーション)を発行し、それを受け取った側のアプリ(SP=Service Provider)がログインを許可する、という仕組みです。Casdoorはこの受け取り役(SP)にも、証明書を発行する役(IdP)にもなれます。受け取った証明書が「本物か」「自分宛てか」「期限内か」「使い回されていないか」を厳しく確かめることが安全の前提ですが、その確認の各段階に抜けがあったのが今回の中身です。
玄関の鍵が「誰の合鍵でも開く」状態だったとき、社内の全部屋から消えるもの
この9件が怖いのは、入口をひとつ突破されただけで奥の全アプリへ正規利用者として入れる点です。用意した証明書や盗んだ応答を投げ直すだけで成立します。狙うのは外から本人確認をすり抜ける侵入者、退職後もアカウントが残る元従業員、同僚に成りすます内部の人間、取引先のIdPを乗っ取った第三者です。手に入るのは、社員の氏名と社内メール、人事・給与システムの評価と報酬、顧客管理システムの取引先名簿、他の管理者アカウントそのもの。偽の証明書が一度受理された瞬間に、社長のIDだろうと経理担当のIDだろうと、攻撃者の手で自由に成りすまされてしまいます。
被害はそのアプリ1本では終わりません。管理者になりすませば配下のSaaSへ横展開でき、人事システムから全社員の個人情報を、顧客管理から取引先名簿を持ち出せます。それらをダークウェブで名簿として転売し、役員になりすました送金指示メールで経理をだまし、盗んだ社員情報を踏み台に取引先や子会社へさらに侵入していく連鎖が現実に起こり得ます。一度配られた「正規の社員証」はログ上も正規アクセスと見分けにくいのが厄介です。
この連鎖の責任は、Casdoorを運用する企業とSaaS提供者に返ってきます。個人情報が漏れれば本人への通知と個人情報保護委員会への報告が必要になり、取引先への賠償や利用者への謝罪も求められます。失うのは流出データだけでなく「ログインを任せて大丈夫な会社」という信頼です。修正版が出ていない以上、いま運用側で手を打てるかが安全を左右します。
9件の脆弱性は何か(CVE別の中身)
9件はいずれも「本人確認をすり抜ける」「他人や他組織になりすます」「無効にしたはずのアクセスが通る」系統です。それぞれの中身を見ていきます。CVE番号はNVDの各ページ(9090〜9098)で確認できます。
CVE-2026-9090: 偽の証明書でログインできるSAML署名検証バイパス
Casdoorは受け取ったSAML応答を検証する際、あらかじめ設定された「信頼済みIdPの証明書」ではなく、受信した応答の中に入っている証明書をそのまま使って署名を確かめていました。攻撃者は自分で作った証明書で偽の本人確認情報に署名し、それを応答に同梱して送れば、検証を通過してしまいます。9件のなかで最も土台に近い穴で、NVDではCISA補助評価として9.1(Critical)が併記されています。
CVE-2026-9091: ソーシャルログイン連携で多要素認証を飛ばせる
GoogleやGitHubなど外部サービスのアカウントでログインする「ソーシャルログイン」を既存アカウントに紐づける処理(controllers/auth.go)に欠陥があり、本来必須のはずの多要素認証(MFA=パスワードに加えてスマホのコードなど2つ目の確認を求める仕組み)のチェックを飛ばせます。MFAを義務化していても、この経路で迂回される恐れがあります。
CVE-2026-9092: 未確認メールでのアカウント乗っ取り
ユーザーを紐づける処理(getExistUserByBindingRule)が、メールアドレスが本人のものとして検証済みか(email_verified)を確認せず、メールアドレスの一致だけで既存ユーザーと結びつけます。攻撃者は被害者のメールアドレスを名乗るだけで、そのアカウントを乗っ取れます。
CVE-2026-9093: SAMLの宛先(AudienceRestriction)を検証しない
SAMLの証明書には「これは誰宛ての証明か」を示すAudienceRestrictionという項目があります。Casdoorはこれを検証せず、宛先の不一致も警告しないため、本来は別のサービス向けに発行された証明書を受け入れてしまう恐れがあります。あるサービス用に正規発行された証明書を、別のサービスへのログインに流用される攻撃につながります。
CVE-2026-9094: 組織をまたいだトークン交換で権限が昇格する
ログイン後に発行される通行証(JWT=署名付きのアクセストークン)の検証時に、その利用者が対象アプリと同じ組織に属しているかを確認していませんでした。これにより、ある組織のトークンを別の組織のアプリに対して使い、本来持たない権限を得る「組織をまたいだ権限昇格」が可能になります。
CVE-2026-9095: 盗んだログイン応答を投げ直せる(SAMLリプレイ)
SAMLの証明書をセッションに対応づける際、リプレイ(使い回し)対策がありません。証明書IDの記録もOneTimeUse条件の確認もないため、攻撃者が一度盗んだ正規のログイン応答を後からそのまま投げ直すと、再びログインが成立してしまいます。
CVE-2026-9096: 有効期限(NotBefore / NotOnOrAfter)を無視する
SAML証明書には「いつからいつまで有効か」を示すNotBefore・NotOnOrAfterという時刻制約があります。Casdoorはこの時刻チェックを計算はするものの、セッションを発行する前にその結果を黙って捨てていました。結果として、期限切れの証明書でもログインが通ってしまいます。リプレイ攻撃(CVE-2026-9095)と組み合わさると影響がさらに広がります。
CVE-2026-9097: 失効させたはずのトークンが通る
通行証(トークン)が無効化(失効)されたかどうかを、Casdoorは管理用のTokenテーブルに一切問い合わせていませんでした。そのため、管理者が「このトークンを無効にした」つもりでも、実際にはまだ通ってしまいます。流出が判明したトークンを止められない、という運用上の致命傷につながります。
CVE-2026-9098: 要求していないログイン応答を受理する
SAMLの受け取り口(/api/acs)が、Casdoor側が事前に出したログイン要求(AuthnRequest)と対応づけずに、形式さえ整っていればどんなSAML応答でも受理します。登録済みの上流IdPを掌握した攻撃者が、要求していない応答を送りつけたり、盗んだ正規の応答を投げ直したりするだけで、恒久的な不正アクセスを確立できてしまいます。
脆弱性の概要
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-9090 〜 CVE-2026-9098 (計9件) |
| 管理番号 | CERT/CC VU#780781 JVNVU#95478525 |
| CVSS | CERT/CC・JVNは未掲載 (NVDのCISA補助評価で 9090のみ9.1 Critical併記) |
| 脆弱性の系統 | 認証回避・なりすまし・ 権限昇格(CWE-287系) |
| 影響バージョン | 2.362.0 およびそれ以前 |
| 修正バージョン | 未公開(2026年6月1日時点) |
| 報告者 | Zixu (Jason) Zhou David Lie / Ilya Grishchenko Xiangyu Guo(トロント大学) |
| 通知 / 公開 | 2026年3月26日通知 2026年5月28日公開 (開発側と調整つかず) |
| 悪用の確認 | 米CISA KEVに未登録 (実際の攻撃は未確認) |
なお、Casdoorのバージョン番号は「v1.500.0」のようにコミット数を反映して伸びていく独自方式のため、数字の大小がそのまま新旧を表します。GitHubの最新リリースは本記事執筆時点でv3.75.0(2026年5月31日)と、影響版2.362.0より新しい系列に進んでいます。ただしCERT/CCは公開時点で「修正版なし」と明記しており、最新リリースがこの9件を確実にふさいだという確認は取れていません。米CISAの実際に攻撃されている脆弱性リスト(KEV=Known Exploited Vulnerabilities)にも、新規の調整なし公開のため2026年6月1日時点で登録されていません。
自分の環境は危ないのか(影響範囲の早見表)
9件はSAMLの利用有無やソーシャルログインの設定によってリスクの度合いが変わります。自社のCasdoorがどの状態かを下の表で確認してください。なお、トークン失効バイパス(CVE-2026-9097)や組織跨ぎ昇格(CVE-2026-9094)はSAMLを使っていなくても影響し得るため、いずれの構成でも「無関係」とは言い切れません。
| バージョン | SAML SSOの利用 | ソーシャルログイン | リスクと取るべき対応 |
|---|---|---|---|
| 2.362.0以前 | 利用あり | 利用あり | 最大リスク。9件すべてに該当し得る SAML一時停止と緩和策を即実施 |
| 2.362.0以前 | 利用あり | 利用なし | 高リスク。SAML系7件が該当 信頼IdPに限定+ログ監視 |
| 2.362.0以前 | 利用なし | 利用あり | 中〜高リスク。MFA回避・メール乗っ取り トークン系の3件に注意 |
| 2.362.0以前 | 利用なし | 利用なし | トークン失効・組織跨ぎ昇格は影響 高権限アカウントの隔離を検討 |
| 3.x系(最新) | いずれも | いずれも | 修正確認は未取得 GitHubの更新を追跡し緩和策を継続 |
いますぐやるべきこと(暫定対策)
これらをふさいだ修正版が出ていないため、当面は運用側での緩和が最重要になります。CERT/CCが推奨する対策に、実務上の手当てを加えて整理します。自社でCasdoorを動かしている場合は、次の対応を検討してください。
1. SAML SSOの一時無効化を検討する。 9件のうち7件がSAML処理に関わります。業務上どうしても必要でないなら、修正の見通しが立つまでSAML経由のログインを一時的に止めることが、最も効果の大きい一手です。止められない場合は次の2を徹底します。
2. 信頼できるIdPだけに限定する(allowlist)。 CERT/CCの第一推奨です。Casdoorが受け付ける身元確認サービス(IdP)を、自社が管理する信頼済みのものだけに絞り込みます。素性の不明なIdPや、外部から自由に追加できる設定を避けることで、偽の証明書を送り込む経路を狭められます。
3. 高権限アカウントを隔離し、下流で多重化する。 管理者など重要なアカウントは、Casdoorのログインだけに頼らず、その先のアプリ側でも独立した多要素認証(MFA)を要求するなど、確認を二重化します。Casdoorの入口が突破されても、最後の砦が残るようにする考え方です。
4. トークンの失効運用を見直す。 CVE-2026-9097により、無効化したはずのトークンが通る恐れがあります。長期間有効なトークンの発行を控え、有効期限を短く設定し、退職者・異動者のアカウントは速やかに削除します。流出が疑われる場合はトークンの再発行(鍵の入れ替え)まで踏み込みます。
5. SAML・トークンの異常ログを監視する。 CERT/CCの推奨でもあります。見覚えのないIdPからのSAML応答、要求していないのに届く応答(CVE-2026-9098の兆候)、同じ証明書の二重利用(リプレイの兆候)、組織をまたいだ不自然なトークン利用などを監視ポイントに加えます。/api/acsへの想定外のアクセスは特に注視してください。
6. 公式の修正を追跡し、出たら即適用する。 リリースページとセキュリティアドバイザリを継続的に確認し、修正版や正式なGHSAが公開されたら速やかに適用します。
ログインの中枢は、攻撃者から見れば「ひとつ開ければ社内の全部屋に入れる合鍵」です。Casdoorに限らず、自前で運用しているオープンソースに潜む欠陥を素早く把握したい場合は、OSSサプライチェーン・スキャナーもあわせてご覧ください。SSO基盤を自社で動かしている組織は、今回の件を機に、受け付けるIdPの範囲とアカウントの棚卸しを一度見直しておくことをおすすめします。
参照元
- ▸CERT/CC - VU#780781: Casdoor contains multiple authentication bypass and access management vulnerabilities(2026年5月28日)
- ▸JVN - JVNVU#95478525 Casdoorにおける複数の脆弱性
- ▸NVD - CVE-2026-9090(SAML署名検証バイパス)
- ▸NVD - CVE-2026-9091(MFA回避)
- ▸NVD - CVE-2026-9092(未検証メールでのアカウント乗っ取り)
- ▸NVD - CVE-2026-9093(AudienceRestriction未検証)
- ▸NVD - CVE-2026-9094(組織跨ぎのトークン交換)
- ▸NVD - CVE-2026-9095(SAMLリプレイ)
- ▸NVD - CVE-2026-9096(時刻制約バイパス)
- ▸NVD - CVE-2026-9097(トークン失効バイパス)
- ▸NVD - CVE-2026-9098(未要求レスポンス受理)
- ▸Casdoor 公式リポジトリ(GitHub)
- ▸Casdoor Releases(最新版の確認)
- ▸Casdoor公式ドキュメント - SAMLの仕組み
- ▸CISA - Known Exploited Vulnerabilities Catalog(未登録の確認)