JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-007654 Unity Catalogは、データおよびAIのためのオープンでマルチモーダルなカタログです。バージョン0.4.0およびそれ以前には、Unity Catalogのトークン交換エンドポイント（/api/1.0/unity-control/auth/tokens）に重大な認証バイパスの脆弱性が存在していました。このエンドポイントは、受信したJWTから発行者（iss）クレームを抽出し、発行者が信頼されたIDプロバイダーであることを検証せずに署名検証のためのJWKSエンドポイントを動的に取得していました。 cpe:/a:unitycatalog:unitycatalog https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-007654.html Common Vulnerabilities and Exposures (CVE) CVE-2026-27478 https://www.cve.org/CVERecord?id=CVE-2026-27478 National Vulnerability Database (NVD) CVE-2026-27478 https://nvd.nist.gov/vuln/detail/CVE-2026-27478 GitHub JWT Issuer Validation Bypass Allows Complete User Impersonation Advisory unitycatalog/unitycatalog GitHub https://github.com/unitycatalog/unitycatalog/security/advisories/GHSA-qqcj-rghw-829x JVNDB CWE-290 https://cwe.mitre.org/data/definitions/290.html JVNDB CWE-1390 https://cwe.mitre.org/data/definitions/1390.html JVNDB CWE-346 https://cwe.mitre.org/data/definitions/346.html 2026-03-18T13:28:10+09:00 2026-03-18T13:28:10+09:00