1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Auth0-PHP SDKに深刻な脆弱性 、セッションハイジャックの恐れ(CVE-2025-47275)

Auth0-PHP SDKに深刻な脆弱性 、セッションハイジャックの恐れ(CVE-2025-47275)

セキュリティニュース

投稿日時: 更新日時:

Auth0-PHP SDKに深刻な脆弱性 〜セッションハイジャックの恐れ'CVE-2025-47275)

2025年5月、Auth0-PHP SDKにおいて、セッションの認証タグがブルートフォース攻撃により突破される恐れがあるという重大な脆弱性(CVE-2025-47275)が公表されました。CVSSスコアは9.1(Critical)とされており、セッション乗っ取りや不正アクセスにつながる極めて深刻なリスクを持っています。

Auth0-PHP SDKは、PHPアプリケーションで外部認証プロバイダー(Google、Facebook、Active Directoryなど)と連携するための認証フレームワークで、約1,600万件ものダウンロード実績を持つ人気ライブラリです。

脆弱性の概要

本脆弱性は、Auth0-PHP SDKを利用しており、セッションストレージに「CookieStore」を設定している場合に発生します。

問題の内容は以下の通りです:

  • CookieStoreに保存されたセッションCookieの**認証タグ(Authentication Tag)**が脆弱である

  • 攻撃者がこの認証タグをブルートフォースで推測可能

  • 成功した場合、ユーザーのセッションを乗っ取る=なりすましアクセスが可

影響を受ける条件

以下のいずれかのSDKを使用しており、セッション管理にCookieStoreを採用している場合は、影響を受けます

  • auth0/auth0-php

  • auth0/symfony

  • auth0/laravel-auth0

  • auth0/wordpress

脆弱性の対処バージョン

以下のバージョンにアップグレードしてください:

  • Auth0-PHP SDK → v8.14.0

  • Laravel SDK → v7.17.0

  • Symfony SDK → v5.4.0

  • WordPress Plugin → v5.3.0

追加の対応推奨事項

  • Cookie暗号化キーのローテーション
    古いセッションCookieは無効になりますが、セキュリティの観点から必須とされています。

関連記事

ファイル転送ソフトのCleoで重大な脆弱性が悪用される(CVE-2024-50623)ファイル転送ソフトのCleoで重大な脆弱性が悪用される(CVE-2024-50623) Googleでサインインの欠陥により、数百万人のユーザーの個人情報が漏洩Googleでサインインの欠陥により、数百万人のユーザーの個人情報が漏洩 Apple、iPhoneを狙ったゼロデイ 攻撃に緊急対応 -iOSにセキュリティアップデートを配信Apple、iPhoneを狙ったゼロデイ 攻撃に緊急対応 -iOSにセキュリティアップデートを配信 ServiceNowの脆弱性を悪用した攻撃が観測される(CVE-2024-4879、CVE-2024-5217)ServiceNowの脆弱性を悪用した攻撃が観測される(CVE-2024-4879、CVE-2024-5217) Default ThumbnailRust PHP Node.js Haskellなど複数のプログラミング言語に影響するWindows環境の引数エスケープ処理に関する脆弱性が発生 Default ThumbnailPHPの脆弱性でWindows サーバーでリモート コードを実行される可能性(CVE-2024-4577) 古いIPカメラのゼロデイ脆弱性を悪用するマルウェア(CVE-2024-7029)古いIPカメラのゼロデイ脆弱性を悪用するマルウェア(CVE-2024-7029) WordPress用プラグイン「Forminator」で複数の脆弱性が発生WordPress用プラグイン「Forminator」で複数の脆弱性が発生 WordPress用プラグイン「Forminator」で複数の脆弱性が発生WordPress用プラグイン「LiteSpeed Cache」で重大な脆弱性が発生(CVE-2023-40000)