HIGHCVE-2019-25480CVSS 7.5

ARMBot upload.phpにおける制限のないファイルアップロード

プラットフォーム

php

コンポーネント

armbot

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

CVE-2019-25480は、ARMBotのupload.phpにおいて、認証なしで任意のファイルをアップロードできる脆弱性です。この脆弱性を悪用されると、攻撃者はパス・トラバーサル攻撃を用いてWebルートにPHPファイルを書き込み、リモートコード実行を達成する可能性があります。影響を受けるバージョンは1.0.0以降です。ベンダーは最新バージョンへのアップデートを推奨しています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がWebサーバー上で任意のコードを実行することを可能にします。攻撃者は、悪意のあるPHPファイルをアップロードし、Webサーバーがそのファイルを処理する際にコードが実行されるように仕向けます。これにより、機密情報の窃取、Webサイトの改ざん、さらにはサーバー全体の制御権の奪取といった深刻な被害が発生する可能性があります。類似の脆弱性は、Webアプリケーションのセキュリティを脅かす重大なリスクとなります。

悪用の状況

この脆弱性は、公開されており、攻撃者による悪用が懸念されます。現時点では、KEVに登録されていません。公開されているPoCは確認されていませんが、パス・トラバーサル攻撃の一般的な手法を利用して悪用される可能性があります。2026年3月11日に公開されました。

リスク対象者翻訳中…

Organizations using ARMBot in production environments, particularly those with publicly accessible upload functionalities, are at significant risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as a compromise of one user's account could potentially lead to the compromise of the entire server.

検出手順翻訳中…

• php: Examine web server access logs for POST requests to upload.php with suspicious file names containing path traversal sequences (e.g., ../public_html/).

grep 'upload.php.*../public_html/' /var/log/apache2/access.log

• php: Check the /public_html/ directory for newly created PHP files with unusual names or timestamps.

find /public_html/ -name '*.php' -type f -mtime -1

• generic web: Monitor file integrity for core ARMBot files, particularly those related to file handling and upload functionality. Unexpected modifications could indicate compromise. • generic web: Review web server error logs for any errors related to file uploads or path traversal attempts.

攻撃タイムライン

2026-03-11Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.18% (40% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントarmbot

ベンダーARMBot

影響範囲修正版

* – *—

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-02-23
公開日2026-03-11
更新日2026-04-07
EPSS 更新日2026-03-23

未パッチ — 公開から74日経過

緩和策と回避策

この脆弱性への対応策として、まずARMBotを最新バージョンにアップデートすることが最も効果的です。アップデートが利用できない場合は、Webアプリケーションファイアウォール（WAF）を導入し、不正なファイルアップロードを検知・ブロックするルールを設定してください。また、upload.phpに対するアクセスを制限する設定変更や、アップロードされるファイルの拡張子を厳密に制限するなどの対策も有効です。アップデート後、アップロード機能が正常に動作することを確認してください。

修正方法

ARMBotを最新バージョンにアップデートして、制限のないファイルアップロードの脆弱性を軽減してください。ファイルの書き込みを許可しないように、ファイルおよびディレクトリの権限を適切に確認し、設定してください。アップロードされたファイルに対して、ファイルタイプとサイズを確認するなど、厳格なサーバーサイドの検証を実装してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2019-25480 — 不正なファイルアップロード in ARMBotとは何ですか？

CVE-2019-25480は、ARMBotのupload.phpにおいて、認証なしで任意のファイルをアップロードできる脆弱性です。攻撃者はパス・トラバーサル攻撃により、WebルートにPHPファイルを書き込み、リモートコード実行を達成する可能性があります。

CVE-2019-25480 in ARMBotに影響を受けますか？

ARMBotのバージョン1.0.0以降を利用している場合は、影響を受ける可能性があります。最新バージョンへのアップデートを推奨します。

CVE-2019-25480 in ARMBotを修正するにはどうすればよいですか？

ARMBotを最新バージョンにアップデートしてください。アップデートが利用できない場合は、WAFの設定変更やファイル拡張子の制限などの対策を講じてください。

CVE-2019-25480は積極的に悪用されていますか？

公開されており、攻撃者による悪用が懸念されています。

CVE-2019-25480に関するARMBotの公式アドバイザリはどこで入手できますか？

ARMBotの公式ウェブサイトまたは関連するセキュリティ情報源でアドバイザリを確認してください。