プラットフォーム
other
コンポーネント
sparx-enterprise-architect
修正版
16.1.1628
CVE-2025-15622 describes a Credential Leak vulnerability affecting Sparx Enterprise Architect versions 16.1.1627 through 17.1.1714. This vulnerability allows the desktop client to inadvertently expose plaintext OAuth2 client secrets, potentially leading to unauthorized access and data compromise. A fix is expected from Sparx Systems, and users are advised to monitor for updates.
Sparx Enterprise Architect の CVE-2025-15622 は、OAuth2 認証情報の漏洩により重大なセキュリティリスクをもたらします。デスクトップクライアントは、誤って OAuth2 クライアントシークレットを平文で公開します。このシークレットにアクセスできる攻撃者は、それをデコードしてアクセスおよび ID トークンを取得し、OpenID 認証フローのセキュリティを損なう可能性があります。これにより、攻撃者が保護されたリソースにアクセスしたり、正当なユーザーになりすましたり、Enterprise Architect 環境内で不正な操作を実行したりする可能性があります。既知の修正プログラムがないことは状況を悪化させ、慎重な評価と軽減策が必要です。
CVE-2025-15622 の悪用には、Sparx Enterprise Architect デスクトップクライアントへのアクセスが必要です。攻撃者は、ソーシャルエンジニアリング、マルウェア、またはユーザーのワークステーションの侵害を通じてこのアクセスを取得する可能性があります。攻撃者が OAuth2 クライアントシークレットにアクセスすると、OpenID 認証サーバーからアクセスおよび ID トークンを要求するために使用できます。これらのトークンは、次に保護されたリソースにアクセスしたり、正当なユーザーになりすましたりするために使用できます。シークレットが平文で公開されているため、悪用の容易さは大きな懸念事項です。
Organizations heavily reliant on Sparx Enterprise Architect for project management and collaboration, particularly those integrating it with other systems via OAuth2, are at increased risk. Environments where the desktop client is used by a large number of users or on shared devices are also more vulnerable.
disclosure
エクスプロイト状況
EPSS
0.02% (6% パーセンタイル)
CISA SSVC
CVE-2025-15622 に対する公式な修正プログラムがないため、Sparx Enterprise Architect を使用している組織は、代替の軽減策を実装する必要があります。これには、デスクトップクライアントへのアクセスを制限するためのネットワークセグメンテーション、疑わしいパターンを検出するためのネットワークアクティビティの徹底的な監視、および OAuth2 シークレットが平文で保存または送信されないようにセキュリティプラクティスを見直すことが含まれます。Sparx Systems に直接連絡して、将来のソリューションまたはパッチに関する情報を得ることを強くお勧めします。一時的に OpenID 認証を無効にすることを検討してください。
Actualice a la última versión disponible de Sparx Enterprise Architect para mitigar la vulnerabilidad. La actualización corrige la forma en que se manejan los secretos OAuth2, evitando la exposición de la clave en texto plano. Consulte la página de historial de versiones del producto para obtener más detalles sobre las actualizaciones disponibles.
脆弱性分析と重要アラートをメールでお届けします。
OAuth2 は、ユーザーの認証情報を共有する必要なく、サードパーティアプリケーションがユーザーの代わりに保護されたリソースにアクセスできるようにする承認プロトコルです。
クライアントシークレットは、クライアントアプリケーションが認証サーバーを認証するために使用するパスワードです。
クライアントシークレットが侵害された疑いがある場合は、既存のトークンを直ちに無効にし、新しいクライアントシークレットを生成する必要があります。
本日現在、Sparx Systems は CVE-2025-15622 について公式な声明を発表していません。最新情報については、Web サイトとコミュニケーションチャネルを監視してください。
ネットワークセキュリティ監視ツールと侵入検知システム (IDS) を構成して、この脆弱性の悪用に関連する疑わしいトラフィックパターンを検出できます。