CVE-2026-42869 in CoPilot
要約
〜によって VulDB • 2026年05月26日
SOCFortress CoPilotは、すべてのセキュリティ運用ニーズに対応する単一管理画面(single pane of glass)の提供に重点を置いています。バージョン0.1.57より前では、SOCFortress CoPilotはバックエンドの`backend/app/auth/utils.py`の28行目にハードコードされたJWT署名用シークレットをフォールバック値として含み、`.env.example`にもそのままの形で含まれていました。`JWT_SECRET`が明示的に設定されていないすべてのデプロイメント(デフォルトのDocker Compose設定を含む)では、すべての認証トークンがこの公に知られている値を使用して署名されます。認証されていない攻撃者は、任意の管理者権限付きJWTを偽造し、資格情報なしでアプリケーションおよびそのアプリケーションが管理するすべてのセキュリティツールへの完全な制御を取得できます。この脆弱性は0.1.57で修正されました。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.