製品・ソフトウェアに関する情報

JVN脆弱性詳細

WSO2のWSO2 Identity Serverにおける複数の脆弱性

Title	WSO2のWSO2 Identity Serverにおける複数の脆弱性
Summary	適応認証フローを実行する際に組織コンテキストの検証を行わないため、WSO2 Identity Serverは意図しない組織で適応認証ロジックをトリガーすることを許可してしまいます。一つの組織内で適応認証の設定権限を持つ悪意ある攻撃者は、この機能を悪用して他の組織およびサブ組織で認証ロジックを実行できます。この脆弱性により組織間の認可境界が回避され、他組織の重要な操作やユーザーアカウントへの不正アクセスが引き起こされます。マルチ組織展開において適応認証が有効になっている場合、一つの組織で適応認証の設定権限を持つ悪意ある攻撃者がこの機能を悪用し、他の組織で権限のない重要な操作を実行する可能性があります。これにより権限昇格、不正なリソースアクセス、および組織を越えたアカウント乗っ取りのリスクが生じます。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 11, 2026, midnight
Registration Date	May 29, 2026, 11:18 a.m.
Last Update	May 29, 2026, 11:18 a.m.

CVSS3.0 : 重要
Score	7.2
Vector	CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Affected System

WSO2

WSO2 Identity Server 7.1.0 以上 7.1.0.26 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-9973	https://www.cve.org/CVERecord?id=CVE-2025-9973
National Vulnerability Database (NVD)
2	CVE-2025-9973	https://nvd.nist.gov/vuln/detail/CVE-2025-9973

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-284	https://cwe.mitre.org/data/definitions/284.html
2	CWE-863	https://cwe.mitre.org/data/definitions/863.html

ベンダー情報

No	Name	URL
Security Announcements
1	Security Advisory WSO2-2025-4530/CVE-2025-9973	https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2026/WSO2-2025-4530/

Change Log

No	Changed Details	Date of change
1	[2026年05月29日] 掲載	May 29, 2026, 11:18 a.m.

NVD Vulnerability Information

CVE-2025-9973

Summary	Due to not validating the organization context when executing adaptive authentication flows, the WSO2 Identity Server allows adaptive authentication logic to be triggered on unintended organizations. A malicious actor with privileges to configure adaptive authentication within one organization can leverage this functionality to execute authentication logic on other organizations and sub-organizations. This flaw allows bypassing authorization boundaries between organizations, leading to unauthorized access to critical operations and user accounts in other organizations. When adaptive authentication is enabled in a multi-organization deployment, a malicious actor with privileges to configure adaptive authentication in one organization could exploit this feature to perform critical operations in other organizations without authorization. This may result in privilege escalation, unauthorized access to resources, and potential account takeover across organizations.
Publication Date	May 11, 2026, 9:16 p.m.
Registration Date	May 12, 2026, 4:13 a.m.
Last Update	May 14, 2026, 12:25 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2026/WSO2-2025-4530/	ed10eef1-636d-4fbe-9993-6890dfa878f8

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-284	不適切なアクセス制御	https://cwe.mitre.org/data/definitions/284.html
2	CWE-863	不正な認証	https://cwe.mitre.org/data/definitions/863.html