OpenAM のセキュリティ脆弱性について

OpenAM に複数のセキュリティ脆弱性が発見されました。

• CVE-2026-44202
• CVE-2026-44203
• CVE-2026-45052

OpenAM 13 および OpenAM 14 向けに修正パッケージを提供いたします。 ご利用のお客様はアップデート版をご適用ください。

なお、OpenAM 9 および OpenAM 11 はサポート対象 OS のメンテナンス期間が終了しているため、修正パッケージの提供はございません。 該当するバージョンをご利用の場合は、OS および製品のメジャーバージョンアップをご検討ください。

対象

• OpenAM 14.x
  • osstech-openam14-14.5.0-120 以前のバージョン
• OpenAM 13.0.0
  • osstech-openam13-13.0.0-198 以前のバージョン
• OpenAM 11.0.0
  • 全てのバージョン
• OpenAM 9.5.x
  • 全てのバージョン

脆弱性の概要

セッションサービスにおけるサーバーサイドリクエストフォージェリの脆弱性（CVE-2026-44202）

• 対象: 全てのバージョン

OpenAM のセッションサービスのエンドポイントに、サーバーサイドリクエストフォージェリ（SSRF）の脆弱性が存在します。 この脆弱性は、内部ネットワークのスキャン等に悪用される恐れがあります。

OAuth2 におけるクロスサイトスクリプティングの脆弱性（CVE-2026-44203）

• 対象: 14.x / 13.0.0

OpenAM の OAuth2 プロバイダー機能に、クロスサイトスクリプティング（XSS）の脆弱性が存在します。 この脆弱性は、セッションハイジャッキング攻撃に悪用される恐れがあります。

なお、この脆弱性は OpenAM を OAuth2 プロバイダーとして利用している場合に影響があります。

Liberty ID-FF における不適切な認可の脆弱性（CVE-2026-45052）

• 対象: 全てのバージョン

Liberty ID-FF のエンドポイントに、不適切な認可の脆弱性が存在します。 この脆弱性を悪用することで、攻撃者が任意のユーザーの Liberty ID-FF 関連属性を読み書きできる恐れがあります。

なお、この脆弱性は以下のエンドポイントを外部に公開している場合に影響があります。

• /openam/Liberty/idpp
• /openam/Liberty/disco

恒久対策

アップデート版の適用をお願いします。

アップデートパッケージの入手方法

お客様がご利用中の OpenAM の環境について、下記の動作 OS、ご利用中のOpenAMのバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。

※下記に記されていない環境については、サポート窓口までお問い合わせください。

OS について

• Red Hat Enterprise Linux 10
• Red Hat Enterprise Linux 9
• Red Hat Enterprise Linux 8
• Amazon Linux 2
• Amazon Linux 2023

OpenAM のバージョンについて

rpm パッケージを導入されている場合は下記のコマンドでご確認ください。

# rpm -qa | grep osstech

カスタマイズの有無などについて

下記の条件に当てはまる場合は、標準のアップデート方法が適用できません。弊社へご連絡の際に下記の条件に当てはまる旨をお知らせください。弊社より個別のアップデート方法をお知らせします。

• カスタマイズモジュールを導入している
  • 画面のカスタマイズをされている場合
  • 認証モジュールのカスタマイズをされている場合
• OpenAM の配備方法が弊社標準とは異なる
  • OpenAM 13.0.0 および 14.0.0 の標準配備先:
    • /opt/osstech/share/tomcat/webapps/openam

リリースノート

アップデート版の修正内容をリリースノートに記載しております。

• OpenAM 14 リリースノート
• OpenAM 13 リリースノート