Critical Cal.com Vulnerability Let Attackers Bypass Authentication and Hijack any User Account
2026/01/15 CyberSecurityNews — Cal.com のスケジュール管理プラットフォームに、深刻な認証バイパスの脆弱性が発見された。この脆弱性 CVE-2026-23478 を悪用する攻撃者は、NextAuth JWT コールバック機構の欠陥を悪用することで、任意のユーザー・アカウントを乗っ取ることが可能になる。この脆弱性は、バージョン 3.1.6 〜 6.0.7 未満に影響を及ぼし、バージョン 6.0.7 以降で修正されている。
この脆弱性は、カスタム NextAuth JWT コールバックに存在し、セッション更新時においてクライアントが制御する ID フィールドの不適切な処理を引き起こす。トリガー条件が “update” に設定されている場合には、当該コールバックはユーザー入力データをサーバ側で検証することなく、直接 JSON Web Token へと書き込む。それにより攻撃者は、session.update({email: “victim@example.com”}) への単一の API 呼び出しを実行するだけで JWT を改変できる。したがって、攻撃者が制御するサブジェクト識別子 (sub: attackerId) と、被害者のメールアドレスの双方を、JWT に取り込むことが可能になる。
| Detail | Information |
|---|---|
| CVE ID | CVE-2026-23478 |
| Affected Versions | >= 3.1.6 < 6.0.7 |
| CVSS v4 Score | Critical / 10 |
| Attack Vector | Network |
| CWE-602 | Client-Side Enforcement of Server-Side Security |
| CWE-639 | Authorization Bypass Through User-Controlled Key |
この改変された JWT を用いる後続のリクエストでは、アプリケーションがトークン内の email フィールドを使用してユーザー・データベースにクエリを実行するため、攻撃者が被害者として認証されてしまう。
このセッションは、被害者のデータベース・レコードのみを基に構築され、認証済みの完全なアクセスが攻撃者に対して直ちに許可される。二要素認証や外部 ID プロバイダーとの関連付けといった既存のセキュリティ対策では、この攻撃を防止できない。その理由は、認証成功後のセッション・トークン・レベルで侵害が発生していることにある。
影響と対応
攻撃が成功した攻撃者は、被害者アカウントの完全な制御が可能となる。それらの制御に含まれるものには、すべての予約情報/イベントタイプ/統合設定/組織メンバーシップ/請求情報/管理者権限へのアクセスなどがある。この攻撃に必要なものは、標的のメールアドレスと1回の API 呼び出しのみであるため、大規模な攻撃の実行も容易である。
この脆弱性を確認した Cal.com は、ホスト型デプロイメントに対して直ちにパッチを適用した。この脆弱性は、Veri-Labs を通じてセキュリティ研究者により報告された。Cal.com のメンテナーによると、実環境における積極的な悪用の兆候は、現時点では確認されていないという。
セルフホスト型 Cal.com インスタンスを運用している組織は、このリスクを軽減するために、速やかにバージョン 6.0.7 以降へとアップグレードすべきだと、アドバイザリには記述されている。
この欠陥が示すのは、堅牢なセキュリティ機能を備えたプラットフォームであっても、サーバ側セキュリティ・メカニズムをクライアント側で制御する場合には、認証アーキテクチャ全体が破綻し得ることである。
Cal.com のセルフホスト版において、特定のメールアドレスを知っているだけで、ユーザーになりすましてログインできてしまうという、きわめて深刻な脆弱性が発見されました。この問題の原因は、認証システム (NextAuth) のセッション更新処理において、サーバ側での検証が不十分だったことにあります。本来、ユーザー情報の更新はサーバ側で厳格にチェックされるべきですが、この脆弱性があるバージョンでは、利用者のブラウザから送られたメールアドレスなどの情報を、そのまま正しいものとして認証トークン (JWT) に書き込んでいました。これにより、攻撃者の ID と被害者のメールアドレスを組み合わせる、不正なトークンを簡単に作成できてしまう状態にありました。この攻撃を受けると、二要素認証 (2FA) を設定していても防ぐことができません。認証が完了した後のセッション情報そのものが、改竄されてしまうためです。攻撃者は、予約情報や管理者権限を含む、アカウントのすべての機能にアクセスできるようになります。ご利用のチームは、ご注意ください。よろしければ、Calender での検索結果を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.