2025年7月31日、認証ゲートウェイとして広く利用されているOAuth2-Proxyに、認証バイパスが可能となる深刻な脆弱性(CVE-2025-54576)が発見されました。CVSSスコアは9.1(Critical)と評価されており、特にOAuth2によって保護されたWebアプリケーションに対して、意図せぬ経路での不正アクセスが可能になる恐れがある点で、影響は極めて重大です。
影響範囲
この脆弱性は、バージョン7.10.0以下のOAuth2-Proxy全ての導入環境に影響します。特に以下のような環境では被害リスクが高まります
-
skip_auth_routesで ワイルドカードや広範囲な正規表現 を使用している -
バックエンドが不正なクエリパラメータを無視する実装となっている
-
アクセス制御がOAuth2-Proxyに依存している(例:Kubernetes Ingress、クラウドLB配下のWeb)
脆弱性の対策バージョン
この問題は、OAuth2-Proxy バージョン 7.11.0 にて修正されています。
すべての利用者は速やかにアップグレードすることが推奨されます。
アップグレードが難しい場合の一時的な対処策
-
正規表現の見直し:広範囲なマッチングを避け、明確なパスを指定
-
正規表現のアンカー付与:必ず
^(開始)および$(終了)を使用 -
具体的なルート指定:ワイルドカードを避け、固定パスで定義
-
クエリ除去の前処理:マッチ前にクエリパラメータを除去するカスタム処理の実装
脆弱性の概要と原因
本脆弱性は、OAuth2-Proxyの設定オプションである skip_auth_routes に起因します。これは、正規表現(regex)で指定したルートに対して認証をスキップする例外パスを定義するための機能ですが、本来は「パス部分」のみにマッチすべきところ、実際の実装ではクエリパラメータを含む「完全なURI」に対してマッチ処理が行われていたという設計上の問題が原因です。





により、非特権ユーザーがroot権限を取得可能に-200x200.png)


