Critical Risk (CVSS 9.1): Auth0-PHP SDK Flaw Threatens 16M+ Downloads
2025/05/19 SecurityOnline — Auth0-PHP SDK を使用する開発者および企業に対して Okta が公開したのは、セッション Cookie に対するブルートフォース攻撃により不正アクセスを許してしまう、深刻な脆弱性に関するセキュリティ・アドバイザリである。この脆弱性 CVE-2025-47275 (CVSS 9.1) は、セッション管理に CookieStore を使用するようにコンフィグされた Auth0-PHP SDK および、それを統合するダウンストリームに影響を及ぼす。
約 1,600万回のダウンロードという実績を持つ Auth0-PHP SDK は、小規模なビジネス Web サイトから大規模なエンタープライズ・アプリにいたるまでの、さまざまな PHP エコシステムで広く使用されている。
このアドバイザリには、「Auth0-PHP SDK において、CookieStore を使用するようにコンフィグされたアプリのセッション・クッキーには、ブルートフォースの攻撃対象となる認証タグが取り込まれており、不正アクセスにつながる可能性がある」と記されている。
この脆弱性は、セキュリティ研究者 Felix Charette により発見されたものであり、Google/Facebook/Active Directory などの一般的な ID プロバイダとの認証において、この SDK と連携する Web アプリに対して重大なリスクをもたらす。
以下の 2 つの条件を満たすアプリは、この脆弱性の影響を受ける可能性がある:
- Auth0-PHP SDK とダウンストリーム
- auth0/symfony
- auth0/laravel-auth0
- auth0/wordpress
- セッションの保存方法として CookieStore を使用している。
影響を受ける、すべての開発者に対して Okta が強く推奨するのは、以下の安全なバージョンへの速やかなアップグレードである:
さらに、このアドバイザリでは、「追加の予防措置として、クッキーの暗号化キーをローテーションすることを推奨する。アップデート後は、以前の全セッション・クッキーが、無効化される点を確認してほしい」と強調されている。
CVSS スコアが 9.1 と高く、ブルートフォースによる悪用が比較的容易であることを考慮すると、すべての組織に対して強く推奨されるのは、これを最優先のアップデートとして扱うことだ。それにより、最新のパッチが適用され、セッション・ハイジャックや不正アクセスのリスクが軽減される。
ブルートフォース攻撃を容易に許してしまう脆弱性 CVE-2025-47275 が FIX とのことです。この Auth0-PHP SDK を、自身のアプリケーションで使用していることを、認識していないユーザーが、とても危険な状況にあると感じます。ご注意ください。よろしければ、Okta で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.