MEDIUMCVE-2025-68481CVSS 5.9

CVE-2025-68481: OAuth State Token Vulnerability in FastAPI Users

Q: CVE-2025-68481 — OAuth State Token Vulnerability in FastAPI Usersとは何ですか？

CVE-2025-68481は、FastAPI UsersライブラリのOAuthログイン機能における脆弱性で、状態トークンがセッションと関連付けられていないため、攻撃者が認証を乗っ取れる可能性があります。

Q: CVE-2025-68481 in FastAPI Usersの影響はありますか？

FastAPI Usersのバージョンが9.3.2以前を使用している場合、影響を受ける可能性があります。OAuthログインを使用しているWebアプリケーションは、早急にバージョンアップを検討してください。

Q: CVE-2025-68481 in FastAPI Usersを修正するにはどうすればよいですか？

FastAPI Usersをバージョン15.0.2以降にアップデートすることで修正できます。アップデートが難しい場合は、WAFルールを実装するなど、代替策を検討してください。

Q: CVE-2025-68481は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。

Q: CVE-2025-68481に関するFastAPI Usersの公式アドバイザリはどこで入手できますか？

FastAPI Usersの公式アドバイザリは、プロジェクトのGitHubリポジトリまたは関連するセキュリティ情報サイトで確認できます。

プラットフォーム

python

コンポーネント

fastapi-users

修正版

15.0.3

15.0.2

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-68481は、FastAPI UsersライブラリのOAuthログイン機能における脆弱性です。この脆弱性により、攻撃者は状態トークンを悪用して認証フローを乗っ取り、不正なアクセスを試みることが可能です。影響を受けるバージョンは9.3.2以前であり、バージョン15.0.2へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、OAuthログインを使用しているアプリケーションにおいて、深刻なセキュリティリスクをもたらします。攻撃者は、有効なOAuth認証フローを傍受し、不正な状態トークンを生成することで、ユーザーになりすましてアプリケーションにアクセスできる可能性があります。これにより、機密情報の漏洩、データの改ざん、さらにはアプリケーション全体の制御権の奪取といった被害が発生する可能性があります。特に、機密性の高い情報を扱うアプリケーションや、多要素認証を導入していない環境では、この脆弱性の悪用による被害が拡大するリスクが高まります。

悪用の状況

この脆弱性は、OAuthログインを実装しているPythonベースのWebアプリケーションに影響を与えます。現時点では、公的なPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISA KEVへの登録状況は不明です。NVD公開日は2025年12月19日です。

リスク対象者翻訳中…

Applications built with FastAPI and utilizing the fastapi-users library for OAuth authentication are at risk. This includes web applications, APIs, and microservices that rely on OAuth for user authentication and authorization. Specifically, deployments using older versions of fastapi-users (<= 9.3.2) and those that haven't implemented robust token validation practices are particularly vulnerable.

検出手順翻訳中…

• python / server:

    grep -r 'generate_state_token' /path/to/your/project/
    # Look for instances where state_data is an empty dictionary.

• python / supply-chain:

    import os
    import hashlib

    def check_fastapi_users_version():
        try:
            import fastapi_users
            version = fastapi_users.__version__
            if version <= '9.3.2':
                print(f"WARNING: fastapi-users version {version} is vulnerable.")
            else:
                print(f"fastapi-users version {version} is not vulnerable.")
        except ImportError:
            print("fastapi-users is not installed.")

    check_fastapi_users_version()

攻撃タイムライン

2025-12-19Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.06% (17% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントfastapi-users

ベンダーosv

影響範囲修正版

< 15.0.2 – < 15.0.215.0.3

—15.0.2

弱点分類 (CWE)

CWE-285 CWE-352

タイムライン

予約済み2025-12-18
公開日2025-12-19
更新日2025-12-20
EPSS 更新日2026-03-23

公開後0日でパッチ適用

緩和策と回避策

この脆弱性への対応策として、まずFastAPI Usersをバージョン15.0.2以降にアップデートすることを推奨します。アップデートが困難な場合は、OAuthログインフローを一時的に停止するか、WAF（Web Application Firewall）を使用して不正な状態トークンを検出・ブロックするルールを実装することを検討してください。また、OAuthログインのredirect URLを厳密に検証し、信頼できるドメインのみを許可するように設定することも有効です。アップデート後、アプリケーションのOAuthログイン機能をテストし、状態トークンが正しく生成・検証されていることを確認してください。

修正方法

FastAPI Users ライブラリをバージョン 15.0.2 以降にアップデートしてください。これにより、OAuth ログインフローにおける Cross-Site Request Forgery (CSRF) の脆弱性が修正されます。アップデートにより、攻撃者がユーザーのアカウントを乗っ取るリスクが軽減されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問