Amazon WorkSpaces for Linuxに認証トークン露出の高深刻度の脆弱性(CVE-2025-12779)

セキュリティニュース

投稿日時: 更新日時:

Amazon WorkSpaces for Linuxに認証トークン露出の高深刻度の脆弱性(CVE-2025-12779)

2025/11/5 Amazonは、Linux版WorkSpacesクライアントにおける認証トークンの不適切な取り扱いに起因する脆弱性 CVE-2025-12779(CVSS 8.8) を修正しました。影響を受けるのは2023.0〜2024.8で、2025.0で解消されています。マルチユーザー環境では、同一端末上の別ユーザーが有効なトークンを取得して他人のWorkSpaceへアクセスできる恐れがあるため、速やかな更新が必要です。

概要

Linux向けのAmazon WorkSpacesクライアントにおいて、DCVベースのWorkSpaces用認証トークンの扱いに不備があり、同じクライアント端末を利用する別のローカルユーザーにトークンが露出する可能性がありました。Amazonの通達によれば、状況によってはそのトークンを用いて他ユーザーのWorkSpaceへアクセスされるおそれがあると説明されています。

  • CVE:CVE-2025-12779

  • 深刻度:CVSS 8.8(High)

  • 影響範囲:Amazon WorkSpaces client for Linux 2023.0〜2024.8

  • 修正2025.0で問題を解消(発表:2025年11月5日 PDT)

対応状況

AmazonはWorkSpacesクライアント 2025.0安全なトークン処理とセッション分離の改善を反映済みです。影響バージョンについてはサポート終了(EoS)の周知も行われています。

影響シナリオ

本脆弱性はローカル環境に限定されますが、共有端末・共用VM・シンクライアントなど複数ユーザーが同一Linuxホストを利用する運用では影響が顕著になります。攻撃者がその端末の別ユーザーとしてアクセスできる場合、露出したトークンを用い、被害者のWorkSpaceに不正ログインし、ファイルやアプリケーション、社内資源にアクセスされるリスクがあります。