MEDIUMCVE-2025-12624CVSS 6

WSO2 Identity Server における不適切なトークン無効化は、アカウントロック後もアクセスを許可します

Q: WSO2 Identity Server の CVE-2025-12624 を修正するにはどうすればよいですか？

すぐにアップグレードできない場合は、既存のアクセス トークンを取り消し、アカウントロックポリシーを強化することを検討してください。

プラットフォーム

java

コンポーネント

wso2-identity-server

修正版

5.2.0.35

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2025-12624 affects WSO2 Identity Server versions from 0.0.0 through 5.2.0.35. This vulnerability allows previously issued access tokens to remain valid even after a user account is locked, effectively bypassing access control policies. The issue arises from the failure to revoke or invalidate these tokens during the account locking process. A fix is available in version 5.2.0.35.

影響と攻撃シナリオ

CVE-2025-12624は、WSO2 Identity Serverにおいて、ユーザーアカウントがロックされた際に、アクティブなアクセストークンが取り消しまたは無効化されないという脆弱性です。つまり、アカウントがロックされても、以前に発行された有効なアクセストークンが引き続き使用可能になり、ロックされたユーザーアカウントが保護されたリソースにアクセスし続けることができます。この取り消し強制の失敗は、アクセス制御ポリシーを回避するため、重大なセキュリティギャップを生み出します。攻撃者はこの脆弱性を悪用して、ユーザーをロックした後でも、機密システムやデータへのアクセスを維持する可能性があります。

悪用の状況

攻撃者は、ユーザーアカウントがロックされる前に発行された有効なアクセストークンにアクセスできる場合に、この脆弱性を悪用する可能性があります。アカウントがロックされた後、攻撃者はこれらのトークンを継続的に使用して保護されたリソースにアクセスし、アクセス制御ポリシーを回避できます。悪用の可能性は、ユーザーアカウントがロックされる頻度とアクセストークンの有効期間によって異なります。アクセストークンが長寿命である場合、またはユーザーアカウントがまれにロックされる環境では、悪用の可能性が高くなります。

リスク対象者翻訳中…

Organizations heavily reliant on WSO2 Identity Server for authentication and authorization are at risk. This includes those with legacy configurations or deployments where access tokens have long expiration times. Shared hosting environments utilizing WSO2 Identity Server are also particularly vulnerable, as compromised accounts on one instance could potentially impact other tenants.

検出手順翻訳中…

• java / server:

# Check for WSO2 Identity Server version
java -version
# Monitor logs for unusual access token activity related to locked accounts
grep -i 'access token' /path/to/wso2/identity-server/logs/*.log

• generic web:

# Check for exposed token endpoints
curl -I https://your-wso2-identity-server/token

攻撃タイムライン

2026-04-16Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.01% (2% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントwso2-identity-server

ベンダーWSO2

影響範囲修正版

0.0.0 – 5.1.9995.2.0.35

5.2.0 – 5.2.0.345.2.0.35

弱点分類 (CWE)

CWE-613

タイムライン

予約済み2025-11-03
公開日2026-04-16
EPSS 更新日2026-04-23

緩和策と回避策

CVE-2025-12624の主な軽減策は、WSO2 Identity Serverをバージョン5.2.0.35以降にアップグレードすることです。このバージョンには、この脆弱性の修正が含まれており、ユーザーアカウントがロックされた場合にアクセストークンが正しく取り消しまたは無効化されることが保証されます。アップグレード中に、不正アクセスリスクを最小限に抑えるために、既存のすべてのアクセストークンを取り消すことをお勧めします。さらに、アカウントロックポリシーをレビューおよび強化して、効果的に適用されていることを確認してください。監査ログの継続的な監視は、疑わしいアクティビティの検出に役立ちます。

修正方法翻訳中…

Actualice WSO2 Identity Server a la versión 5.2.0.35 o superior para mitigar la vulnerabilidad. Esta actualización corrige el problema de invalidación incorrecta del token, asegurando que las cuentas bloqueadas no puedan acceder a los recursos protegidos a través de tokens expirados.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-12624 とは何ですか？（WSO2 Identity Server）

WSO2 Identity Serverは、認証、承認、ユーザー管理を提供するアイデンティティおよびアクセス管理（IAM）プラットフォームです。

WSO2 Identity Server の CVE-2025-12624 による影響を受けていますか？

使用しているWSO2 Identity Serverのバージョンを確認してください。バージョンが5.2.0.35より前の場合は、脆弱性があります。

WSO2 Identity Server の CVE-2025-12624 を修正するにはどうすればよいですか？

すぐにアップグレードできない場合は、既存のアクセストークンを取り消し、アカウントロックポリシーを強化することを検討してください。

CVE-2025-12624 は積極的に悪用されていますか？

はい、この脆弱性は5.2.0.35より前のバージョンを使用しているすべてのWSO2 Identity Serverデプロイメントに影響を与えます。

CVE-2025-12624 に関する WSO2 Identity Server の公式アドバイザリはどこで確認できますか？

この脆弱性に関する詳細については、WSO2のウェブサイトとNIST NVDなどの脆弱性データベースで確認できます。