公開日:2025/09/17 最終更新日:2025/09/17

JVNVU#96277701
OpenAM(OpenAMコンソーシアム版)にサービス運用妨害(DoS)につながる脆弱性

概要

OpenAM(OpenAMコンソーシアム版)にはサービス運用妨害(DoS)につながる脆弱性が存在します。

影響を受けるシステム

  • OpenAM(OpenAMコンソーシアム版)バージョン 14.0.2より前のバージョン

詳細情報

OpenAM(OpenAMコンソーシアム版)には、システムや設定の外部制御(CWE-15、CVE-2025-8662)が行われることに起因して、SAML IdPが正常に機能しなくなりサービス運用妨害(DoS)状態に至る脆弱性が存在します。

想定される影響

遠隔の第三者によって不正に細工されたリクエストを送信されることにより、当該製品がSAML IdPとして正常に機能しなくなる可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、OpenAM14.0.2へアップデートしてください。

ワークアラウンドを実施する
開発者から以下の回避策が提供されています。

  • OpenAMの「連携」の「トラストサークル」の設定において、トラストサークルの構成を一つのみとする

詳しくは、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
OpenAMコンソーシアム CVE-2025-8662
CVE-2025-8662 #304

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia