プラットフォーム
other
コンポーネント
ash_authentication
修正版
4.1.1
CVE-2025-25202は、Elixirアプリケーションの認証フレームワークであるAsh Authenticationにおける脆弱性です。バージョン4.1.0以降に初期化されたアプリケーションで、マジックリンク戦略を使用している場合、または手動でトークンを取り消している場合に影響が発生します。この脆弱性により、取り消されたトークンが有効とみなされ、認証が許可される可能性があります。
この脆弱性を悪用されると、攻撃者は取り消された認証トークンを再利用し、不正にシステムにアクセスできる可能性があります。特に、マジックリンク戦略を使用している場合、攻撃者は有効期限が切れるまでトークンを再利用できます。これにより、機密情報の漏洩、不正な操作、さらにはシステム全体の制御権の奪取といった深刻な被害が発生する可能性があります。この脆弱性は、認証プロセスをバイパスする手段となり、既存のセキュリティ対策を無効化する可能性があります。
この脆弱性は、CISA KEVカタログにはまだ登録されていません。公開されているPoCは確認されていませんが、マジックリンク戦略を使用しているアプリケーションは、攻撃対象となりやすいと考えられます。NVDの公開日は2025年2月11日です。この脆弱性の悪用に関する情報が今後公開される可能性があります。
Elixir applications utilizing Ash Authentication, particularly those employing the magic link authentication strategy or implementing custom token revocation mechanisms, are at risk. Shared hosting environments where multiple applications share the same Ash Authentication instance could also amplify the potential impact.
disclosure
エクスプロイト状況
EPSS
0.16% (37% パーセンタイル)
CISA SSVC
この脆弱性への対応策として、まずAsh Authenticationをバージョン4.4.9にアップデートすることを推奨します。アップデートが困難な場合は、カスタムのトークン取り消し機能を実装し、取り消されたトークンが再利用されないようにする必要があります。WAFやプロキシサーバーを使用して、不正なトークンアクセスを検知・ブロックすることも有効です。また、ログ監視を強化し、異常な認証試行を早期に発見できるようにすることが重要です。アップデート後、認証機能が正常に動作することを確認してください。
Actualice a la versión 4.4.9 o superior. Si está utilizando el instalador `mix ash_authentication.install`, ejecute `mix igniter.upgrade ash_authentication` para aplicar el parche. Alternativamente, elimine la acción genérica `:revoked?` en el recurso de token o aplique manualmente los cambios incluidos en el parche.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-25202は、Ash Authentication 4.1.0~4.4.8において、認証トークンの取り消し機能の不備により、取り消されたトークンが有効とみなされる可能性がある脆弱性です。
Ash Authenticationのバージョン4.1.0から4.4.8を使用しており、マジックリンク戦略を使用している、または手動でトークンを取り消している場合は影響を受けます。
Ash Authenticationをバージョン4.4.9にアップデートすることを推奨します。アップデートが困難な場合は、カスタムのトークン取り消し機能を実装してください。
現時点では、CVE-2025-25202の悪用に関する情報は確認されていませんが、攻撃対象となりやすいと考えられます。
Ash Authenticationの公式アドバイザリは、プロジェクトのドキュメントやGitHubリポジトリで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。