社内チャット基盤Rocket.Chatに認証なしで乗っ取りの脆弱性3件、CVE-2026-45688ほか最新版へ更新を
官公庁や企業で使われる社内チャット基盤『Rocket.Chat』に、認証なしで他人のアカウントを乗っ取られかねない脆弱性が3件見つかりました。最も深刻なCVE-2026-45688とCVE-2026-45689はCVSS9.1。ログインの窓口にデータベース用の記号を割り込ませて本人確認をすり抜け、アクセス権の窃取や管理者昇格に至る恐れがあります。各系統の最新版へ更新を。
堀川 慎
Backend Engineer / AWS / Django / Go
官公庁や企業で使われる社内チャット基盤『Rocket.Chat』に、認証なしで他人のアカウントを乗っ取られかねない脆弱性が3件見つかりました。最も深刻なCVE-2026-45688とCVE-2026-45689はCVSS9.1。ログインの窓口にデータベース用の記号を割り込ませて本人確認をすり抜け、アクセス権の窃取や管理者昇格に至る恐れがあります。各系統の最新版へ更新を。
社内向けのチャット基盤として世界の官公庁・企業で使われる「Rocket.Chat(ロケットチャット)」に、本人確認(認証)なしで他人のアカウントを乗っ取られかねない脆弱性(プログラムの欠陥)が3件見つかりました。最も深刻なCVE-2026-45688とCVE-2026-45689は、どちらも10点満点中9.1(緊急)です。
3件はいずれもGitHubが報告し、2026年6月24日に公開されました。修正は8.5.0/8.4.1/8.3.3/8.2.3/8.1.4/8.0.5/7.13.7/7.10.11など各系統の最新版に含まれます。ログインの仕組みにデータベース用の特殊な記号を割り込ませることで、認証を回避して他人のアクセス権を盗み、管理者にまで昇格され得るため、自分でRocket.Chatを運用しているなら今すぐ更新が必要です。
Rocket.Chatとはどんなサービスか
Rocket.Chatは、Slackのようなチームのチャット・通話・ビデオ会議をまとめて行えるコミュニケーション基盤です。最大の特徴は、自社のサーバーや外部とつながらない閉じた環境(エアギャップ)でも運用でき、データを自分たちの管理下に置ける点です。オープンソースとして公開されており、公式サイトによると米軍(陸軍・空軍)やEUの機関、防衛関連企業、医療機関など、機密性を重んじる組織に広く採用されています。
機密のやり取りが集まる場所だけに、乗っ取られたときの影響は重大です。今回の3件のうち2件はログインしていない外部の第三者が悪用できるもので、内部のデータベースの問い合わせに不正な記号を混ぜ込む「NoSQLインジェクション」という手口が共通しています。
誰が狙い、何をされ、どうなるのか
最も危険な2件で狙われるのは、Rocket.Chatをネットワーク上で公開して運用している組織です。攻撃にログインは不要で、サーバーに通信が届く位置にいる第三者なら誰でも仕掛けられます。とくに、外部のログイン連携(シングルサインオン)やアプリ連携の窓口を開いている場合が対象です。
攻撃者がすることは、ログイン用の窓口に、データベースが特別な意味で解釈する記号(MongoDBの演算子)を混ぜ込み、本来の本人確認をすり抜けて、他人のアクセス権(トークン)を手に入れることです。盗んだアクセス権を使えば、その利用者になりすましてチャットを読み書きでき、相手が管理者なら管理権限まで奪える可能性があります。
乗っ取られると、機密のやり取りの盗み見、なりすましによる偽の指示、ファイルや会話の改ざん、組織全体への侵入の拡大につながります。Rocket.Chatは官公庁や防衛・医療といった機微な現場で使われることが多いため、被害は一組織の情報漏えいにとどまらない可能性があります。実際に攻撃へ使われ始めた脆弱性はCISA KEV ダッシュボード(日本語版)で追えます。
3件の脆弱性の中身
深刻度の高い2件は、いずれも「ログインの窓口にデータベース用の記号を混ぜ込まれる」NoSQLインジェクションです。残る1件は、ログイン済みの利用者が自分の記録を不正に書き換えられるものです。
CVE-2026-45688:CASログインの認証をすり抜けて乗っ取り(CVSS 9.1)
公開情報によると、外部のログイン連携方式のひとつ「CAS」を処理する部分で、認証用の値(credentialToken)にMongoDB(Rocket.Chatが使うデータベース)の演算子を割り込ませることができました。これにより、本来のチケット確認を完全にすり抜けてアクセス権を盗み、管理者への昇格にもつながり得ます(GHSA-rr54-jf4h-6cj9)。ログイン不要で成立する点が深刻です。
CVE-2026-45689:トークン発行口から任意ユーザーのアクセス権を窃取(CVSS 9.1)
この欠陥では、アクセス権を発行する窓口(/oauth/token)に渡す値の検証が甘く、ここでもMongoDBの演算子を割り込ませることで、認証なしの攻撃者が任意の利用者の正規アクセス権(OAuthトークン)を手に入れられました。盗んだトークンで対象になりすませ、管理者級の操作に至る恐れがあります。
CVE-2026-45687:ファイル送信処理で自分の記録を不正に書き換え(CVSS 8.5)
この欠陥は、ファイル送信を扱う内部処理(sendFileMessage)が、攻撃者の指定したファイル情報を項目の制限なくデータベース更新に取り込んでいた点にあります。ログイン済みの利用者が、自分のアップロード記録のどの項目でも書き換えられ、保存場所やパスといった情報の改ざんを通じてファイルの整理やアクセス制御を崩せます。
攻撃の前提の早見表
3件は「ログインが必要か」が異なります。いずれも各系統の最新版で修正済みです。
| CVE | 深刻度 | ログイン | 起こり得ること |
|---|---|---|---|
| 45688 | 9.1 | 不要 | 認証回避→ 乗っ取り・管理者昇格 |
| 45689 | 9.1 | 不要 | 任意ユーザーの アクセス権を窃取 |
| 45687 | 8.5 | 必要 | 自分のアップロード 記録の改ざん |
最優先は認証不要の2件(45688/45689)です。インターネットに公開しているサーバーや、外部のログイン連携を使っている環境はとくに急いで対応してください。
いま取るべき対策
最優先は、Rocket.Chatを各系統の修正版(8.5.0/8.4.1/8.3.3/8.2.3/8.1.4/8.0.5/7.13.7/7.10.11以降)へ更新することです。自分が使っているバージョン系統に合う修正版へ上げてください。公式のリリースで最新版を確認できます。クラウド版(Rocket.Chat Cloud)を使っている場合は提供側で更新されます。
すぐに更新できない場合の緩和策として、外部からの接続を信頼できる範囲に絞る、使っていないログイン連携(CASなど)やアプリ連携の窓口を一時的に止めることが有効です。あわせて、身に覚えのない管理者アカウントの追加や不審なログイン、見慣れないアクセス権の発行がないかをログで点検してください。乗っ取りが疑われる場合は、発行済みのアクセス権(トークン)を失効させ、利用者にパスワード変更を促すのが安全です。
まとめ
Rocket.Chatで見つかった3件は、認証不要で他人のアクセス権を盗めるCVE-2026-45688・CVE-2026-45689(いずれもCVSS 9.1)が最重要で、どちらもログインの窓口にデータベース用の記号を割り込ませるNoSQLインジェクションです。残る1件はログイン済み利用者による記録の改ざんです。各系統の最新版で修正されています。
Rocket.Chatは官公庁や防衛・医療など機微な現場で使われることが多く、乗っ取りの影響は一組織にとどまりません。自分で運用しているなら、まずバージョンを確認し、古ければ今すぐ更新してください。Rocket.Chatに関する新たな脆弱性が出た場合は、本記事に追記して追っていきます。