CVEウォッチ

CVE-2026-30863: Parse ServerにおけるJWT認証の脆弱性(Google, Apple, Facebookアダプター)

March 8, 2026 ·

概要

CVE-2026-30863は、Node.js上で動作するオープンソースのバックエンドフレームワークであるParse Serverに存在する重要な脆弱性です。この脆弱性は、Parse Serverが提供するGoogle、Apple、およびFacebookの認証アダプターにおいて、JSON Web Token (JWT) のaudience(対象者)検証が適切に行われない場合に発生します。

具体的には、これらの認証アダプターでaudience設定オプション(Google/Appleの場合はclientId、Facebookの場合はappIds)が設定されていない場合、JWTの検証プロセスがaudienceクレームの検証をサイレントにスキップしてしまうと報告されています。これにより、攻撃者は別のアプリケーション向けに正しく署名された有効なJWTを使用して、脆弱なParse Server上の任意のユーザーとして認証できてしまう可能性があります。

この問題は、Parse Serverのバージョン8.6.10および9.5.0-alpha.11で修正されています。

影響範囲

  • Parse Serverのバージョン8.6.10未満
  • Parse Serverのバージョン9.5.0-alpha.11未満

特に、Google、Apple、またはFacebookの認証アダプターを使用しており、かつこれらのアダプターのaudience関連設定オプション(clientIdまたはappIds)が未設定である環境が影響を受けます。

想定される影響

本脆弱性が悪用された場合、攻撃者は別のアプリケーション向けに発行された有効なJWTを悪用し、対象のParse Server上で任意のユーザーとして不正に認証できる可能性があります。これにより、以下のような深刻な影響が懸念されます。

  • ユーザーアカウントへの不正アクセス
  • 機密情報の漏洩
  • データの改ざんや削除
  • サービス停止(DoS)

最悪の場合、システム全体のセキュリティが侵害される恐れがあります。

攻撃成立条件・悪用状況

攻撃成立条件

攻撃が成立するためには、以下の条件が満たされる必要があります。

  • Parse ServerがGoogle、Apple、またはFacebookの認証アダプターを使用していること。
  • 該当する認証アダプターのaudience設定オプション(Google/Appleの場合はclientId、Facebookの場合はappIds)が未設定であること。
  • 攻撃者が、別のアプリケーション向けに発行された有効なJWTを入手できること。

悪用状況

現時点では、この脆弱性の具体的な悪用状況に関する詳細な報告は確認されていません。しかし、上記条件が満たされている環境では、攻撃が成立する可能性があります。

推奨対策

最優先で実施すべき対策

  • Parse Serverのアップデート:

    速やかにParse Serverを以下のいずれかのバージョンにアップデートしてください。

    • バージョン8.6.10以降
    • バージョン9.5.0-alpha.11以降

    これにより、JWTのaudience検証が適切に行われるようになり、本脆弱性が修正されます。

中長期的に検討すべき対策

  • 認証アダプター設定の確認と修正:

    Google、Apple、Facebookの認証アダプターを使用している場合は、audience設定オプション(Google/Appleの場合はclientId、Facebookの場合はappIds)が適切に設定されていることを確認し、未設定の場合は直ちに設定してください。これにより、JWTのaudience検証が強制され、脆弱性の悪用を防ぐことができます。

一時的な緩和策

Parse Serverの即時アップデートが困難な場合、以下の緩和策を検討してください。

  • 認証アダプターのaudience設定:

    影響を受けるGoogle、Apple、Facebook認証アダプターのaudience設定オプション(clientIdまたはappIds)を、ご自身のアプリケーションIDに正確に設定することで、JWTのaudience検証が有効になり、脆弱性の悪用を一時的に防ぐことが可能です。

  • 影響を受ける認証アダプターの一時的な無効化:

    ビジネス要件上許容される場合、脆弱性のある認証アダプターの使用を一時的に停止することも、リスクを低減する手段となり得ます。

確認方法

  • Parse Serverのバージョン確認:

    現在稼働しているParse Serverのバージョンを確認し、影響を受けるバージョン(8.6.10未満、または9.5.0-alpha.11未満)に該当しないかを確認してください。

  • 認証アダプターの設定確認:

    Google、Apple、Facebookの認証アダプターを使用している場合、その設定においてclientId(Google/Apple)またはappIds(Facebook)が適切に設定されているかを確認してください。これらの設定が未設定の場合、脆弱性の影響を受ける可能性があります。

参考情報