MEDIUMCVE-2018-25234CVSS 6.2

SmartFTP Client 9.0.2615.0 のホストフィールドを介したサービス拒否

プラットフォーム

windows

コンポーネント

smartftp-client

修正版

9.0.2616

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2018-25234は、SmartFTP Client 9.0.2615.0に存在するサービス拒否（DoS）の脆弱性です。この脆弱性により、ローカルの攻撃者は、ホストフィールドに非常に長い文字列を提供することで、アプリケーションをクラッシュさせることができます。影響を受けるバージョンは9.0.2615.0です。現在、公式な修正パッチは提供されていません。

影響と攻撃シナリオ

CVE-2018-25234 は SmartFTP Client バージョン 9.0.2615.0 に影響を与え、サービス拒否 (DoS) の脆弱性をもたらします。ローカルの攻撃者は、'Host' フィールドに過度に長い文字列を単に入力するだけでアプリケーションをクラッシュさせることができます。この脆弱性は、'Host' 接続パラメータに約 300 文字の繰り返しの文字列を挿入することで悪用されます。適切な入力長検証の欠如により、バッファがオーバーフローし、アプリケーションの障害につながります。脆弱性はローカルですが、その悪用の容易さとサービス可用性への潜在的な影響により、SmartFTP Client ユーザーにとって重要です。開発者からの公式な修正プログラムがないことは状況を悪化させ、代替の軽減策を必要とします。

悪用の状況

CVE-2018-25234 はローカル環境で簡単に悪用できます。SmartFTP Client 9.0.2615.0 を実行しているシステムにアクセスできる攻撃者は、単にアプリケーションを開き、接続設定で 'Host' フィールドに長い文字列 (約 300 文字の繰り返し) を入力するだけです。この脆弱性を悪用するために、認証や昇格された特権は必要ありません。悪用の容易さにより、システムへのローカルアクセスが比較的容易な環境では、大きなリスクとなります。'Host' フィールドの入力長検証の欠如が脆弱性の根本原因であり、バッファがオーバーフローしてアプリケーションをクラッシュさせることが可能になります。この脆弱性はリモート接続には影響せず、その影響をローカル攻撃に限定します。

リスク対象者翻訳中…

Users who rely on SmartFTP Client version 9.0.2615.0, particularly those who grant local users access to configure connection settings, are at risk. Shared hosting environments where multiple users share the same instance of SmartFTP Client are also potentially vulnerable.

検出手順翻訳中…

• windows / supply-chain:

Get-Process SmartFTP | Select-Object -ExpandProperty CPU -WarningAction SilentlyContinue

• windows / supply-chain:

Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='SmartFTP Client']]]" -MaxEvents 10

• windows / supply-chain: Check Autoruns for suspicious entries related to SmartFTP Client.

攻撃タイムライン

2026-03-30Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

レポート1 脅威レポート

EPSS

0.01% (3% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントsmartftp-client

ベンダーSmartftp

影響範囲修正版

9.0.2615.0 – 9.0.2615.09.0.2616

弱点分類 (CWE)

CWE-466

タイムライン

予約済み2026-03-30
公開日2026-03-30
更新日2026-04-01
EPSS 更新日2026-04-06

未パッチ — 公開から55日経過

緩和策と回避策

CVE-2018-25234 に対して SmartFTP Client 開発者から公式な修正プログラムが提供されていないため、軽減策は攻撃対象領域を減らし、潜在的な影響を制限することに重点が置かれます。利用可能な場合は、SmartFTP Client の新しいバージョンにアップグレードすることを強くお勧めします。後期のバージョンでは、この脆弱性が修正されているか、追加のセキュリティ対策が実装されている可能性があります。さらに、SmartFTP Client へのアクセスを承認されたユーザーに制限し、システムアクティビティを不審な動作について監視することで、潜在的な攻撃を検出および防止するのに役立ちます。ファイアウォールや侵入検知システムなどのセキュリティソフトウェアの使用を検討することも、追加の保護層を提供できます。最後に、ユーザーにセキュリティリスクとベストプラクティスについて教育することで、この脆弱性の悪用を防ぐのに役立ちます。

修正方法翻訳中…

Actualice SmartFTP Client a una versión posterior a 9.0.2615.0. Esto evitará que un atacante local cause una denegación de servicio al proporcionar una cadena excesivamente larga en el campo Host.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2018-25234 とは何ですか？（SmartFTP Client の Denial of Service (DoS)）

DoS とは、攻撃者が SmartFTP Client のようなサービスを正当なユーザーが利用できなくする行為を意味します。

SmartFTP Client の CVE-2018-25234 による影響を受けていますか？

いいえ、悪用は比較的簡単で、高度な技術的知識は必要ありません。

SmartFTP Client の CVE-2018-25234 を修正するにはどうすればよいですか？

現在、SmartFTP Client 開発者は公式な修正プログラムを公開していません。

CVE-2018-25234 は積極的に悪用されていますか？

アクセスを制限し、システムアクティビティを監視するなど、推奨される軽減策を実装してください。

CVE-2018-25234 に関する SmartFTP Client の公式アドバイザリはどこで確認できますか？

いいえ、この脆弱性はローカル環境でのみ悪用できます。