無料スキャン
HIGHCVE-2019-25254CVSS 8.8

KYOCERA Net Admin 3.4.0906 ユーザー管理におけるクロスサイトリクエストフォージェリ (Cross-Site Request Forgery)

プラットフォーム

other

コンポーネント

kyocera-net-admin

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月
NVDで見る
保存

CVE-2019-25254は、KYOCERA Net Admin 3.4.0906に存在するクロスサイトリクエストフォージェリ(XSRF)脆弱性です。この脆弱性を悪用されると、攻撃者は認証済みのユーザーの権限を悪用し、管理者アカウントを不正に作成することが可能です。影響を受けるバージョンは3.4.0906です。現在、この脆弱性に対する修正バージョンが提供されています。

影響と攻撃シナリオ

このXSRF脆弱性は、攻撃者がKYOCERA Net Adminの管理インターフェースにアクセスできる認証済みユーザーのセッションを悪用することを可能にします。攻撃者は、巧妙に作成されたWebページを通じて、管理者アカウントの作成リクエストを自動的に送信できます。これにより、攻撃者はシステムへの不正アクセス権を取得し、設定の変更、機密データの窃取、さらにはシステム全体の制御を奪う可能性があります。この脆弱性は、特に管理者権限を持つアカウントが標的にされる可能性が高いため、組織全体への影響が及ぶ可能性があります。

悪用の状況

CVE-2019-25254は、2025年12月24日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、XSRF攻撃は比較的容易に実行可能なため、攻撃者による悪用リスクは存在します。CISA KEVリストへの登録状況は不明です。

リスク対象者翻訳中…

Organizations utilizing KYOCERA Net Admin version 3.4.0906, particularly those with limited network segmentation or weak access controls, are at significant risk. Shared hosting environments where multiple users share the same KYOCERA Net Admin instance are also particularly vulnerable.

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.01% (2% パーセンタイル)

CISA SSVC

悪用状況poc
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionRequired被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントkyocera-net-admin
ベンダーKYOCERA Corporation
影響範囲修正版
3.4.0906 – 3.4.0906

弱点分類 (CWE)

CWE-352

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日
未パッチ — 公開から151日経過

緩和策と回避策

この脆弱性への対応策として、まずKYOCERA Net Adminを最新バージョンにアップデートすることを推奨します。アップデートが利用できない場合は、Webアプリケーションファイアウォール(WAF)を導入し、XSRF攻撃を検知・防御するルールを設定してください。また、管理者アカウントのパスワードポリシーを強化し、多要素認証を有効にすることで、攻撃の影響を軽減できます。さらに、ユーザーへのセキュリティ教育を実施し、不審なWebサイトへのアクセスやリンクのクリックを避けるよう促すことが重要です。

修正方法

修正されたバージョンの KYOCERA Net Admin にアップデートしてください。 利用可能なアップデートと軽減策については、Kyocera のページを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2019-25254 — XSRF in KYOCERA Net Admin 3.4.0906とは何ですか?

CVE-2019-25254は、KYOCERA Net Admin 3.4.0906に存在するクロスサイトリクエストフォージェリ(XSRF)脆弱性であり、攻撃者が管理者アカウントを不正に作成できる可能性があります。

CVE-2019-25254 in KYOCERA Net Admin 3.4.0906の影響はありますか?

はい、バージョン3.4.0906を使用している場合は影響を受けます。攻撃者は、認証済みのユーザーの権限を悪用して管理者アカウントを作成し、システムへの不正アクセスを試みる可能性があります。

CVE-2019-25254 in KYOCERA Net Admin 3.4.0906を修正するにはどうすればよいですか?

KYOCERA Net Adminを最新バージョンにアップデートすることが推奨されます。アップデートが利用できない場合は、WAFの導入やパスワードポリシーの強化などの対策を講じてください。

CVE-2019-25254は積極的に悪用されていますか?

現時点では、公開されているPoCは確認されていませんが、XSRF攻撃は比較的容易に実行可能なため、悪用リスクは存在します。

CVE-2019-25254に関するKYOCERAの公式アドバイザリはどこで入手できますか?

KYOCERAの公式アドバイザリは、KYOCERAのサポートサイトまたはセキュリティ情報ページで確認できます。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索