CRITICALCVE-2020-15152CVSS 9.1

ftp-srvにおけるサーバーサイドリクエストフォージェリ

Q: CVE-2020-15152 — RCE in nodejs ftp-srvとは何ですか？

CVE-2020-15152は、nodejsのftp-srvライブラリにおけるリモートコード実行(RCE)脆弱性です。攻撃者はPORTコマンドを悪用し、サーバー上で任意のコードを実行できます。

Q: CVE-2020-15152 in nodejs ftp-srvの影響はありますか？

はい、影響があります。バージョン2.19.6より前のftp-srvを使用している場合、攻撃を受ける可能性があります。

Q: CVE-2020-15152 in nodejs ftp-srvを修正するにはどうすればよいですか？

nodejs ftp-srvライブラリをバージョン2.19.6以降にアップデートしてください。

Q: CVE-2020-15152は積極的に悪用されていますか？

現時点では、具体的な攻撃キャンペーンの報告はありませんが、公開されている脆弱性であるため、悪用される可能性があります。

Q: CVE-2020-15152に関するnodejsの公式アドバイザリはどこで入手できますか？

nodejsの公式アドバイザリは、[https://nodejs.org/en/](https://nodejs.org/en/)で確認できます。

プラットフォーム

nodejs

コンポーネント

ftp-srv

修正版

1.0.1

3.0.1

4.0.1

2.19.6

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2020-15152は、nodejsのftp-srvライブラリにおけるリモートコード実行(RCE)脆弱性です。この脆弱性は、FTPクライアントがPORTコマンドを通じてサーバーに接続先IPアドレスを送信できることに起因します。攻撃者はこの機能を悪用し、サーバーが予期しないホストに接続するように誘導し、最終的に任意のコードを実行する可能性があります。影響を受けるバージョンは2.19.6より前のものです。2.19.6へのアップデートでこの脆弱性は修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がftp-srvサーバー上で任意のコードを実行することを可能にします。攻撃者は、PORTコマンドを悪用して、サーバーが攻撃者が制御するホストに接続するように指示できます。これにより、機密情報の窃取、システムの改ざん、さらにはネットワーク全体への攻撃の踏み台として利用される可能性があります。この脆弱性の悪用は、サーバーの完全な制御を失うことにつながる可能性があり、深刻なビジネスインパクトをもたらす可能性があります。類似の脆弱性は、FTPサーバーのセキュリティ設定の不備から発生することがあります。

悪用の状況

CVE-2020-15152は、公開されている脆弱性であり、PoCコードが存在する可能性があります。CISAのKEVカタログへの登録状況は不明です。NVD（National Vulnerability Database）は2020年8月17日に公開されています。この脆弱性の悪用に関する具体的な攻撃キャンペーンの報告は現時点ではありません。

リスク対象者翻訳中…

Applications built on Node.js that utilize the ftp-srv module for FTP functionality are at risk. This includes custom-built applications, as well as those relying on older or unmaintained Node.js packages. Shared hosting environments where users have the ability to install or modify Node.js modules are particularly vulnerable.

検出手順翻訳中…

• nodejs / server:

  ps aux | grep ftp-srv
  netstat -tulnp | grep :21 # Check for FTP connections

• linux / server:

  journalctl -u nodejs -f | grep PORT
  auditctl -l # Check for audit rules related to FTP connections

• generic web:

  curl -I http://your-ftp-server/ | grep Server # Check for ftp-srv version

攻撃タイムライン

2020-08-17Disclosure
disclosure
2020-08-17Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.22% (44% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントftp-srv

ベンダーosv

影響範囲修正版

>= 1.0.0, < 2.19.6 – >= 1.0.0, < 2.19.61.0.1

>= 3.0.0, < 3.1.2 – >= 3.0.0, < 3.1.23.0.1

>= 4.0.0, < 4.3.4 – >= 4.0.0, < 4.3.44.0.1

1.0.02.19.6

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2020-06-25
公開日2020-08-17
更新日2026-03-13
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、まずnodejs ftp-srvライブラリをバージョン2.19.6以降にアップデートすることを推奨します。アップデートが利用できない場合、またはアップデートによってシステムに影響が出る場合は、一時的な回避策として、FTPサーバーのファイアウォールルールを調整し、信頼できるIPアドレスからの接続のみを許可するように設定してください。また、WAF（Web Application Firewall）を導入し、悪意のあるPORTコマンドを検知・ブロックすることも有効です。アップデート後、ftp-srvのログを監視し、異常な接続試行がないか確認してください。

修正方法

ftp-srvパッケージをバージョン2.19.6、3.1.2、または4.3.4以降にアップデートしてください。これにより、PORTコマンドにおけるServer-Side Request Forgery (SSRF)の脆弱性が修正されます。代替として、FTPサーバーの設定を通じてPORTコマンドをブロックすることもできます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2020-15152 — RCE in nodejs ftp-srvとは何ですか？