公開日:2025/12/19 最終更新日:2025/12/19

JVNVU#90333110
Central Dogmaにおけるオープンリダイレクトの脆弱性

概要

LINEヤフー株式会社が提供するCentral Dogmaには、オープンリダイレクトの脆弱性が存在します。

影響を受けるシステム

  • Central Dogma 0.78.0より前のバージョン

詳細情報

LINEヤフー株式会社が提供するCentral Dogmaには、次の脆弱性が存在します

  • オープンリダイレクト(CWE-601
    • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.3
    • CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1
    • CVE-2025-11222

想定される影響

遠隔の第三者によって細工されたURLをユーザーがクリックした場合、正規のCentral Dogmaログインページに似せたフィッシングサイト等にリダイレクトされる可能性があります。その結果、ユーザー認証情報が窃取されたり、不正アクセスされたりする可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとにアップデートしてください。

ワークアラウンドを実施する
AuthProviderを実装し、webLoginService()をオーバーライドしてください。

詳しくは、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
LINEヤフー株式会社 CVE-2025-11222
Open Redirect Vulnerability in Central Dogma's Login Function

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia