2025年5月、PythonでWebアプリケーションを構築できるオープンソースフレームワーク「Reflex」において、アカウント乗っ取りにつながる可能性のある深刻な脆弱性(CVE-2025-47425)が報告されました。本記事では、情報システム部門のご担当者様向けにこの脆弱性の概要と対応策について解説します。
影響を受けるバージョン
以下のバージョンが影響を受けます
-
Reflex v0.2.7 以上、v0.7.11 未満
修正済みバージョン
以下のいずれかにアップグレードすることで、本脆弱性は解消されます
-
0.4.9.post1 -
0.5.10.post1 -
0.6.8.post1 -
0.7.1.post1~0.7.10.post1 -
0.7.11以降の全バージョン
脆弱性の概要
この脆弱性は、クライアント側のイベントが、意図せずサーバ側のステート(状態)情報、特にプライベートなフィールドにアクセス・変更できてしまうというものです。
本来、Reflexのステート管理は、ユーザーごとに分離された安全なデータ領域として設計されています。しかし、今回の問題では、以下のような制限不備が見つかっています
-
クライアントから送信される特定のイベントが、任意のステートフィールドにアクセス可能
-
これには「本来クライアントから触れられないはずのプライベートフィールド」も含まれる
-
ただし、攻撃者はプライベートフィールド名を推測する必要がある
想定される影響
この脆弱性を悪用されると、例えば以下のような深刻な事態を引き起こす可能性があります:
-
ユーザーが別のロール(管理者など)に切り替わる
-
他ユーザーのアカウントになりすます(アカウント乗っ取り)
-
サーバ側の重要なフラグや制御変数を操作される
CVSSスコアは8.1(高)と評価されており、実害が発生するリスクは決して低くありません。
まとめ
ReflexはPythonでフルスタックなWebアプリを開発できる魅力的なフレームワークですが、その内部の状態管理が攻撃対象となるリスクが露呈しました。
Reflexをご利用中のシステムでは、速やかなアップグレードと設計の見直しが不可欠です。情報システム部門としても、脆弱性管理と合わせてセキュリティ設計の再確認を行うことを強く推奨します。
関連記事
F5 BIG-IPの脆弱性 PoCがリリース(CVE-2025-20029)
Rust PHP Node.js Haskellなど複数のプログラミング言語に影響するWindows環境の引数エスケープ処理に関する脆弱性が発生
AWSとGoogle CloudのCLIツールで情報漏洩の脆弱性 LeakyCLIが発生
Jenkins、暗号化された秘密情報の漏洩やクロスサイトリクエストフォージェリ (CSRF) などの複数の脆弱性を修正
MicrosoftがAzureおよびPower Appsに関する重大な脆弱性4件を修正 ~最大CVSS 10.0の特権昇格も対象~
ADOdbのPostgreSQLドライバに深刻なSQLインジェクションの脆弱性(CVE-2025-46337)
Auth0-PHP SDKに深刻な脆弱性 、セッションハイジャックの恐れ(CVE-2025-47275)
全ての Wi-Fi クライアントへ影響する脆弱性が観測される(CVE-2023-52424 )
JavaScriptのライブラリ「Polyfill.io」がサプライチェーン攻撃に悪用 10万以上のサイトに影響
