プラットフォーム
go
コンポーネント
github.com/octo-sts/app
修正版
0.5.4
0.5.3
CVE-2025-52477は、github.com/octo-sts/appにおいて発見されたSSRF(Server-Side Request Forgery)脆弱性です。この脆弱性は、OpenID Connectトークン内の特定のフィールドを悪用することで、攻撃者がサーバーを介して任意の内部リソースにアクセスすることを可能にします。影響を受けるバージョンは0.5.3以前であり、0.5.3へのアップデートによってこの問題は修正されています。
このSSRF脆弱性を悪用されると、攻撃者はgithub.com/octo-sts/appサーバーを介して内部ネットワーク上のリソースに不正にアクセスする可能性があります。例えば、機密情報を含む内部APIへのアクセス、データベースへのアクセス、または他の内部システムへの攻撃の足がかりとして利用される可能性があります。攻撃者は、内部ネットワークの他のサーバーをスキャンしたり、機密情報を盗み出したりする可能性があります。この脆弱性の影響範囲は、内部ネットワークの構成とgithub.com/octo-sts/appがアクセスできるリソースに依存します。
CVE-2025-52477は、2025年7月28日に公開されました。現時点では、この脆弱性を悪用した公開されているPoC(Proof of Concept)は確認されていませんが、SSRF脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。
Organizations that rely on Octo STS for OpenID Connect token validation, particularly those with internal services accessible via HTTP or HTTPS, are at risk. This includes applications that integrate with identity providers and use Octo STS to verify user authentication. Environments with limited network segmentation or inadequate WAF protection are especially vulnerable.
• go: Inspect application code for instances where Octo STS is used to validate OpenID Connect tokens. Look for code that directly uses the token's claims to construct outbound URLs without proper validation.
• generic web: Monitor outbound network traffic from the application for requests to unexpected or internal IP addresses. Use tools like tcpdump or network intrusion detection systems (NIDS) to identify suspicious patterns.
• linux / server: Examine application logs for errors related to token validation or unexpected outbound requests. Use journalctl to filter for relevant log entries.
journalctl -u your_app_service -f | grep "Octo STS" | grep "URL"disclosure
エクスプロイト状況
EPSS
0.07% (21% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最善の対応は、github.com/octo-sts/appをバージョン0.5.3以降にアップデートすることです。アップデートがすぐに実行できない場合は、OpenID Connectトークン内のフィールドの検証を強化し、許可されていないリクエストをブロックするWAF(Web Application Firewall)ルールを実装することを検討してください。また、github.com/octo-sts/appがアクセスできる内部リソースを最小限に抑えることで、攻撃の影響範囲を制限できます。アップデート後、github.com/octo-sts/appのログを監視し、不正なリクエストがないか確認してください。
Octo-STS をバージョン 0.5.3 以降にアップデートしてください。このバージョンには、入力のサニタイズとログのマスキングのためのパッチが含まれており、SSRF (SSRF) の脆弱性を軽減します。アップデートは、新しいバージョンをダウンロードして既存のファイルを置き換えることで実行できます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-52477は、github.com/octo-sts/appにおけるSSRF脆弱性であり、OpenID Connectトークンを悪用して内部リソースにアクセスされる可能性があります。
github.com/octo-sts/appのバージョンが0.5.3以前の場合は、この脆弱性の影響を受けています。
github.com/octo-sts/appをバージョン0.5.3以降にアップデートしてください。
現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は悪用されやすい可能性があるため、注意が必要です。
github.com/octo-sts/appの公式アドバイザリは、github.com/octo-sts/appのリリースノートまたはセキュリティアナウンスメントで確認してください。
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。