2025/11/5 Amazonは、Linux版WorkSpacesクライアントにおける認証トークンの不適切な取り扱いに起因する脆弱性 CVE-2025-12779(CVSS 8.8) を修正しました。影響を受けるのは2023.0〜2024.8で、2025.0で解消されています。マルチユーザー環境では、同一端末上の別ユーザーが有効なトークンを取得して他人のWorkSpaceへアクセスできる恐れがあるため、速やかな更新が必要です。
概要
Linux向けのAmazon WorkSpacesクライアントにおいて、DCVベースのWorkSpaces用認証トークンの扱いに不備があり、同じクライアント端末を利用する別のローカルユーザーにトークンが露出する可能性がありました。Amazonの通達によれば、状況によってはそのトークンを用いて他ユーザーのWorkSpaceへアクセスされるおそれがあると説明されています。
-
CVE:CVE-2025-12779
-
深刻度:CVSS 8.8(High)
-
影響範囲:Amazon WorkSpaces client for Linux 2023.0〜2024.8
-
修正:2025.0で問題を解消(発表:2025年11月5日 PDT)
対応状況
AmazonはWorkSpacesクライアント 2025.0で安全なトークン処理とセッション分離の改善を反映済みです。影響バージョンについてはサポート終了(EoS)の周知も行われています。
影響シナリオ
本脆弱性はローカル環境に限定されますが、共有端末・共用VM・シンクライアントなど複数ユーザーが同一Linuxホストを利用する運用では影響が顕著になります。攻撃者がその端末の別ユーザーとしてアクセスできる場合、露出したトークンを用い、被害者のWorkSpaceに不正ログインし、ファイルやアプリケーション、社内資源にアクセスされるリスクがあります。








