Cloudflareがworkers-oauth-providerの脆弱性CVE-2025-4143を修正、OAuth実装のセキュリティ強化

記事の要約

• Cloudflareがworkers-oauth-providerの脆弱性を修正
• CVE-2025-4143として公開されたOAuth実装の脆弱性に対処
• redirect_uriの検証不足により、認証情報の窃取の可能性があった

Cloudflareがworkers-oauth-providerの脆弱性修正を公開

Cloudflare社は2025年5月1日、workers-oauth-providerにおけるOAuth実装の脆弱性CVE-2025-4143を修正したことを公開した。この脆弱性は、redirect_uriの検証が不十分であったことが原因で発生したのだ。

この脆弱性により、特定の条件下で攻撃者が被害者の認証情報を窃取し、なりすましを行う可能性があった。攻撃が成功するためには、OAuthサーバーの承認コールバックが、被害者が以前に承認したOAuthクライアントからのものと見なされる承認を自動承認するように設計されている必要がある。この自動再承認ロジックは、workers-oauth-providerではなく、その上に構築されたアプリケーションによって実装されるものである。

Cloudflareは、GitHub上で修正プログラムを公開し、影響を受けるユーザーへの対応を呼びかけている。修正プログラムは、https://github.com/cloudflare/workers-oauth-provider/pull/26で確認できる。

多くのアプリケーションがこのような自動再承認ロジックを実装しているため、影響範囲は広く、迅速な対応が求められる。

脆弱性に関する詳細

OAuthとredirect_uriの検証について

OAuth 2.0では、redirect_uriの検証はセキュリティ上非常に重要だ。このURIは、承認コードやアクセストークンが送信される場所を指定する。

• 不正なredirect_uriを許容すると、攻撃者が認証情報を盗む可能性がある
• 承認リクエストとアクセストークン交換の両方で検証を行う必要がある
• RFCに記載されている基本的なセキュリティ要件である

workers-oauth-providerはアクセストークン交換時の検証は行っていたものの、承認リクエスト時の検証が不足していた点が問題であった。

CVE-2025-4143に関する考察

今回の脆弱性修正は、OAuthセキュリティにおける基本的な事項を見落としていたことが原因である。これは、開発者にとって重要な教訓となるだろう。セキュリティ対策は、設計段階から徹底的に行う必要があることを改めて認識させる出来事だ。

今後、同様の脆弱性が他のOAuth実装でも発見される可能性がある。そのため、開発者はOAuthに関するセキュリティベストプラクティスを理解し、実装を綿密に検証する必要がある。定期的なセキュリティ監査も重要となるだろう。

さらに、OAuthライブラリの開発者や利用者は、セキュリティアップデートを迅速に適用し、脆弱性情報に常に注意を払うべきだ。セキュリティ意識の向上と継続的な学習が、安全なシステム構築に不可欠である。

参考サイト/関連サイト