Apache CXFのXKMS LDAPサービスにLDAPインジェクションが可能になる脆弱性 CVE-2026-44930

セキュリティニュース

投稿日時: 更新日時:

Apache CXFのXKMS LDAPサービスにLDAPインジェクションが可能になる脆弱性 CVE-2026-44930

Apache Software Foundationは2026年5月22日、Javaウェブサービスフレームワーク「Apache CXF」のXKMS(XML Key Management Specification)サービスに存在するLDAPインジェクション脆弱性「CVE-2026-44930」をApacheデベロッパーメーリングリスト経由で公開しました。

本脆弱性はcxf-services-xkms-x509-repo-ldapコンポーネント——LDAPディレクトリ経由でX.509証明書を管理するモジュール——の不適切な入力検証(CWE-90:LDAPクエリに使用される特殊要素の不適切な無害化)に起因し、攻撃者がLDAPクエリを操作することでリポジトリから任意のデジタル証明書を窃取できる脆弱性です。

証明書ベースの認証や暗号化に依存する企業の信頼関係基盤を脅かす本脆弱性について、Apache Software Foundationは4.2.1・4.1.6・3.6.11の修正済みリリースを提供しており、即時アップデートを強く推奨しています。

この記事のサマリー

  • CVE:CVE-2026-44930
  • CWE:CWE-90(LDAPクエリに使用される特殊要素の不適切な無害化=LDAPインジェクション)
  • 重大度Important(重要)
  • 公開日:2026年5月22日(CVE予約日:2026年5月8日)・Apache CXFデベロッパーメーリングリスト経由
  • アサイナー:Apache Software Foundation
  • 影響を受けるコンポーネントcxf-services-xkms-x509-repo-ldap(XKMS LDAPベース証明書リポジトリ)
  • 影響を受けるバージョン
    • Apache CXF 4.2.0〜4.2.0(4.2.1未満)
    • Apache CXF 4.0.0〜4.1.5(4.1.6未満)
    • Apache CXF 3.6.11未満(すべてのバージョン)
  • 修正済みバージョン4.2.1・4.1.6・3.6.11
  • 攻撃の内容:細工されたLDAPフィルターをXKMSエンドポイントへの証明書ルックアップリクエストに注入することで、他のユーザーやサービスに属する任意の証明書を列挙・窃取できる
  • 影響:意図されたアクセス制御の回避・デジタル証明書の不正窃取・証明書ベース認証システムの信頼関係の崩壊
  • 実攻撃の確認:現時点では未報告

影響を受けるバージョンと修正済みバージョン

Apache Software Foundationが確認した影響範囲と修正版は以下の通りです。

ブランチ 影響を受けるバージョン 修正済みバージョン
4.2.x 4.2.0(4.2.1未満) 4.2.1
4.1.x 4.0.0〜4.1.5(4.1.6未満) 4.1.6
3.6.x以前 3.6.11未満のすべてのバージョン 3.6.11

なお本脆弱性が影響するのは、XKMSサービスとともにcxf-services-xkms-x509-repo-ldapコンポーネントを使用している構成のみです。XKMSを使用していない、またはLDAPベースの証明書リポジトリを使用していないApache CXF環境は直接の影響を受けません。

Apache CXFとは——エンタープライズのSOAPウェブサービスを支える基盤

Apache CXFはJavaベースのオープンソースウェブサービスフレームワークです。SOAP・REST・WSDLなど複数のプロトコルとWeb Service標準をサポートし、エンタープライズシステムにおいて多数のSOAPウェブサービスの構築・展開の基盤として広く採用されています。

CXFが提供する機能の一つが**XKMS(XML Key Management Specification)**サービスです。XKMSはX.509デジタル証明書のライフサイクル管理(登録・取得・失効確認等)をウェブサービスとして提供するW3C標準であり、そのバックエンドとしてLDAPディレクトリが使われるケース(cxf-services-xkms-x509-repo-ldapコンポーネント)が今回の脆弱性の影響を受けます。

脆弱性の技術詳細——LDAPインジェクションが証明書リポジトリを直撃

根本原因:ユーザー入力のLDAPクエリへの無害化なしの流入

CVEレコード(CVE-2026-44930・MITRE/THREATINT)の公式説明によれば、脆弱性の本質は「Apache CXFのXKMSサーバーのLDAPベース証明書リポジトリにおけるLDAPインジェクション脆弱性」であり、攻撃者がリポジトリから任意の証明書を取得できる可能性があるとされています。

GBHackersの技術分析によれば、cxf-services-xkms-x509-repo-ldapコンポーネントはX.509証明書をLDAPディレクトリ経由で管理しています。不十分な入力検証により、攻撃者が悪意ある入力を注入することでLDAPクエリを操作でき、バックエンドクエリのロジックを書き換えて本来アクセスが許可されていない証明書をリポジトリから取得できます。

攻撃シナリオ

CyberSecurityNewsの分析によれば、脆弱なXKMSエンドポイントにアクセスできる攻撃者は、証明書ルックアップリクエストに細工されたLDAPフィルターを注入することで、ディレクトリ内の他のユーザーやサービスに属する証明書を列挙または窃取できます。

具体的には、通常の証明書取得リクエストに対してLDAP特殊文字(例:*()\NUL等)を含む細工された値を注入することで、意図されたLDAPフィルターのロジックを書き換え、管理者を含む任意のエンティティの証明書が返されるようにできます。

影響の深刻さ——信頼関係の崩壊

GBHackersが指摘するように、本脆弱性による最大の影響は「証明書ベースの認証や暗号化に依存するシステムにおける信頼関係の崩壊」です。X.509デジタル証明書は公開鍵インフラ(PKI)の根幹をなすものであり、XKMS経由で管理される証明書が攻撃者に窃取された場合:

**なりすまし攻撃(Impersonation)**として、窃取した証明書を使って正規のユーザーやサービスを装い、認証を突破できます。**中間者攻撃(MITM)**として、証明書を悪用してTLS/SSLで保護された通信を傍受・改ざんできます。サービスの信頼性への損害として、証明書リポジトリのデータが侵害されたと判明した場合、PKI基盤全体への信頼性が失われます。


対応方法

推奨対応①:修正済みバージョンへの即時更新

Apache Software Foundationが強く推奨する対応は、修正済みリリース(4.2.1・4.1.6・3.6.11)への即時アップグレードです。MavenやGradleを使用している場合は、pom.xmlまたはbuild.gradleの依存関係バージョンを更新してください。

<!-- Maven の例 (4.2.x ブランチの場合) -->
<dependency>
    <groupId>org.apache.cxf</groupId>
    <artifactId>cxf-services-xkms-x509-repo-ldap</artifactId>
    <version>4.2.1</version>
</dependency>

推奨対応②:LDAPアクセス制御の見直し

CyberSecurityNewsが推奨するように、パッチ適用に加えて以下の強化策を実施することを推奨します。LDAPサーバー側でのアクセス制御の見直しとして、証明書リポジトリに対して最小権限の原則に基づいたアクセス制御を設定し、不要な証明書検索権限を削除してください。証明書アクセスログの監視として、LDAPログで不審な証明書アクセスパターン(大量のリクエスト・不規則なフィルターパターン等)がないかを確認してください。XKMSサービスの外部公開の制限として、XKMSサービスがインターネットに直接公開されている場合は、信頼済みIPアドレスのみにアクセスを制限するか、VPN経由のアクセスのみに限定することを検討してください。

推奨対応③:XKMSサービスの使用有無の確認

本脆弱性はcxf-services-xkms-x509-repo-ldapコンポーネントに限定されています。以下のコマンドでクラスパスにこのコンポーネントが含まれているかを確認してください。

# MavenプロジェクトでXKMSコンポーネントの依存関係確認
mvn dependency:tree | grep xkms

# あるいはJARファイルの確認
find . -name "cxf-services-xkms*.jar"

当該コンポーネントを使用していない環境では、他の緩和策は不要です。

Apache CXFのセキュリティ脆弱性の系譜

今回のCVE-2026-44930は、Apache CXFの長期的な脆弱性対応の歴史における最新の事例です。Apache CXF公式セキュリティアドバイザリページには2025年の直近3件の重大なCVEが記録されています。

CVE-2025-23184として、Apache CXFのCachedOutputStream処理において一時ファイルがメモリ上に全展開・ログ出力されるDoS脆弱性および機密情報のログへの平文書き込み問題です。修正版は3.5.11・3.6.6・4.0.7・4.1.1です。CVE-2025-48795として、同様に大規模なストリームベースのメッセージが一時ファイルとして保存される際のDoSおよびログへの機密データ露出の脆弱性です。CVE-2025-48913として、信頼されていないJMS(Java Message Service)設定がリモートコード実行(RCE)につながりうる深刻な脆弱性です。

SOAPウェブサービスフレームワークというその性質上、Apache CXFはエンタープライズの多くの重要なサービスの内部で稼働しており、定期的なアップデートと脆弱性管理の維持が特に重要です。

FAQ

Q. XKMS機能を使っていない場合も影響を受けますか? A. いいえ。CVE-2026-44930はcxf-services-xkms-x509-repo-ldapコンポーネントの使用に限定されます。XKMS LDAPリポジトリを使用していないApache CXF環境には直接影響しません。

Q. LDAPの代わりにデータベースやファイルシステムで証明書を管理している場合は? A. LDAPバックエンドを使用していない場合(例えばJDBCベースやファイルシステムベースのリポジトリ)は本脆弱性の影響を受けません。

Q. 実際の攻撃に悪用されたという報告はありますか? A. 現時点では実際の攻撃での悪用は確認されていません。ただしApache Software Foundationは「Important」重大度として即時アップデートを強く推奨しています。


参考情報(1次ソース)