お問い合わせ

OpenAM のセキュリティ脆弱性について [am2026-2-2]

OpenAM 13 および OpenAM 14 向けに修正パッケージを提供いたします。ご利用のお客様はアップデート版を適用してください。

2026-06-29

サポートニュース

OpenAM

update

OpenAM のセキュリティ脆弱性について

OpenAM に複数のセキュリティ脆弱性が発見されました。

OpenAM 13 および OpenAM 14 向けに修正パッケージを提供いたします。 ご利用のお客様はアップデート版をご適用ください。

なお、以下のバージョンにつきましては、サポート対象 OS のメンテナンス期間が終了しているため、修正パッケージの提供はございません。

  • OpenAM 9 / OpenAM 11
  • OpenAM 13 / OpenAM 14 (サポート終了 OS をご利用の場合)

該当するバージョンをご利用中の場合は、OS のアップデートおよび製品のメジャーバージョンアップをご検討いただけますようお願いいたします。

対象

  • OpenAM 14.x
    • osstech-openam14-14.5.0-120 以前のバージョン
  • OpenAM 13.0.0
    • osstech-openam13-13.0.0-198 以前のバージョン
  • OpenAM 11.0.0
    • 全てのバージョン
  • OpenAM 9.5.x
    • 全てのバージョン

脆弱性の概要

Push 認証における安全でないデシリアライズの脆弱性(CVE-2026-45794)

  • 対象: 14.x

Push 認証のエンドポイントに、信頼できないデータをデシリアライズする脆弱性が存在します。 この脆弱性は、リモートコード実行等に悪用される恐れがあります。

なお、この脆弱性は Push 認証を利用している環境に影響があります。

Push 認証における不適切な入力検証の脆弱性(CVE-2026-46498)

  • 対象: 14.x

Push 認証のエンドポイントに、不適切な入力検証の脆弱性が存在します。 この脆弱性は、OAuth2 アクセストークンの埋め込みに悪用される恐れがあります。

なお、この脆弱性は Push 認証を利用している環境に影響があります。

RADIUS 認証における認証バイパスの脆弱性(CVE-2026-46560)

  • 対象: 全てのバージョン

RADIUS 認証モジュールに、認証バイパスの脆弱性が存在します。 この脆弱性により、攻撃者が任意のユーザーのセッションを取得できる恐れがあります。

なお、この脆弱性は RADIUS 認証を利用している環境に影響があります。

MSISDN 認証における認証バイパスの脆弱性(CVE-2026-46619)

  • 対象: 全てのバージョン

MSISDN 認証モジュールに、LDAP インジェクションの脆弱性が存在します。 この脆弱性により、攻撃者が任意のユーザーのセッションを取得できる恐れがあります。

なお、この脆弱性は MSISDN 認証を利用している環境に影響があります。

Groovy スクリプトによるリモートコード実行の脆弱性(CVE-2026-47424)

  • 対象: 14.x / 13.0.0

Groovy スクリプト機能に、サンドボックスを回避して OS コマンドを実行できる脆弱性が存在します。 攻撃者が管理者のセッションを奪取した場合に、リモートコード実行が行われる恐れがあります。

OAuth2 クライアントのなりすましの脆弱性(CVE-2026-47426)

  • 対象: 14.x / 13.0.0

OpenAM の OAuth2 プロバイダー機能に、OAuth2 クライアントのなりすましの脆弱性が存在します。 この脆弱性により、攻撃者の OAuth2 クライアントを任意のクライアントとして動作させ、アクセストークンを取得される恐れがあります。

なお、この脆弱性は OpenAM を OAuth2 プロバイダーとして利用しており、OAuth2 クライアントの認証に private_key_jwt を使用している場合に影響があります。

OAuth2 PKCE バイパスの脆弱性(CVE-2026-48717)

  • 対象: 14.x / 13.0.0

OpenAM の OAuth2 プロバイダー機能に、OAuth2 のセキュリティ拡張仕様である PKCE をバイパスできる脆弱性が存在します。 PKCE の検証が正常に機能しないため、攻撃者が横取りした認可コードを使用してアクセストークンを奪取できる恐れがあります。

なお、この脆弱性は OpenAM を OAuth2 プロバイダーとして利用しており、PKCE の強制を無効にしている場合に影響があります。

恒久対策

アップデート版の適用をお願いします。

アップデートパッケージの入手方法

お客様がご利用中の OpenAM の環境について、下記の動作 OS、ご利用中のOpenAMのバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。

※下記に記されていない環境については、サポート窓口までお問い合わせください。

OS について

  • Red Hat Enterprise Linux 10
  • Red Hat Enterprise Linux 9
  • Red Hat Enterprise Linux 8
  • Amazon Linux 2
  • Amazon Linux 2023

OpenAM のバージョンについて

rpm パッケージを導入されている場合は下記のコマンドでご確認ください。

# rpm -qa | grep osstech

カスタマイズの有無などについて

下記の条件に当てはまる場合は、標準のアップデート方法が適用できません。弊社へご連絡の際に下記の条件に当てはまる旨をお知らせください。弊社より個別のアップデート方法をお知らせします。

  • カスタマイズモジュールを導入している
    • 画面のカスタマイズをされている場合
    • 認証モジュールのカスタマイズをされている場合
  • OpenAM の配備方法が弊社標準とは異なる
    • OpenAM 13.0.0 および 14.0.0 の標準配備先:
      • /opt/osstech/share/tomcat/webapps/openam

リリースノート

アップデート版の修正内容をリリースノートに記載しております。

Go To Top