Apache APISIX Vulnerability Enables Cross-Issuer Access Under Misconfigurations
2025/07/04 gbhackers — 広く利用されているオープンソース API ゲートウェイ Apache APISIX の openid-connect プラグインに、新たな脆弱性 CVE-2025-46647 が発見された。この脆弱性は重要度が高く、特定のミスコンフィグが生じている状況において、異なる ID 発行者の間をまたぐかたちで、攻撃者に対して不正アクセスを許す可能性がある。
この脆弱性は、2025年7月2日に Apache APISIX 開発メーリング・リストに JunXu Chen が報告したものであるが、その貴族はセキュリティ研究者である Tiernan Messmer にある。
| CVE ID | Product | Affected Versions | Fixed Version | Severity |
| CVE-2025-46647 | Apache APISIX | < 3.12.0 | 3.12.0 | Important |
技術的な詳細
openid-connect プラグインを introspection モードで使用する際に、発行者の検証が適切に行われないことに、この脆弱性は起因する。
具体的に言うと、このプラグインは、introspection 検出 URL から発行者を適切に検証できないため、複数発行者が存在する環境において悪用の可能性が生じる。
この脆弱性は、以下の全条件を満たすデプロイメントだけに影響を及ぼす:
- openid-connect プラグインが有効化され、introspection モードでコンフィグされている。
- プラグインに接続される認証サービスが、複数の発行者をサポートしている。
- それらの発行者が同じ秘密鍵を共有しており、発行者の識別には、発行者の値のみが使用されている。
これらの前提条件が満たされた場合おいて、ある発行者の有効な認証情報を持つ攻撃者が、そのトークンを利用して別の発行者により保護されるリソースにアクセスし、事実上、発行者間の境界をまたぐ可能性が生じる。
この脆弱性は、マルチテナント形式のエンタープライズ環境や、フェデレーション型クラウドアーキテクチャなどの、複数の論理ドメインを通じて単一の ID プロバイダを使用する組織において、きわめて深刻な懸念事項となる。
そのような状況において、発行者に対する検証が不適切な場合には、機密リソースへの不正アクセスにつながり、影響を受けるシステムのセキュリティ・モデルが損なわれる可能性がある。
影響を受けるバージョン
| Software | Affected Versions | Fixed Version |
| Apache APISIX | < 3.12.0 | 3.12.0 |
すでに Apache APISIX チームは、上記のリリースにおいて問題に対処している。Apache APISIX のバージョン 3.12.0 未満を使用している、ユーザーに対して強く推奨されるのは、バージョン 3.12.0 以降へのアップグレードである。このバージョンでは、openid-connect プラグインにおける発行者の検証を適切に行うための修正が加えられている。
Apache APISIX の一部である openid-connect プラグインに、深刻な脆弱性が発見されました。特定のミスコンフィグのケースで、攻撃者による不正アクセスが生じ得るようです。セキュリティを確保するためには、正確なコンフィグが大切です。ご利用のチームは、ご注意ください。よろしければ、Apache で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.