HIGHCVE-2025-10951CVSS 7.3

geyang ml-logger server.py log_handler パス・トラバーサル

プラットフォーム

python

コンポーネント

ml-logger

修正版

255.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-10951は、Python製のml-loggerにおいて、log_handler関数におけるパストラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はファイルシステムへの不正アクセスを試みることが可能です。影響を受けるバージョンは、acf255bade5be6ad88d90735c8367b28cbe3a743以下のバージョンです。バージョン255.0.1で修正が提供されています。

影響と攻撃シナリオ

このパストラバーサル脆弱性は、攻撃者がml-loggerがアクセスできるファイルシステム上の任意のファイルにアクセスすることを可能にします。攻撃者は、機密情報を含む設定ファイル、ログファイル、または他の重要なデータを読み取る可能性があります。さらに、攻撃者は、この脆弱性を悪用して、システム上で任意のコードを実行する可能性も否定できません。公開されているPoCが存在するため、攻撃のリスクは高くなっています。この脆弱性の悪用は、機密情報の漏洩、システムの改ざん、さらにはシステム全体の停止につながる可能性があります。

悪用の状況

この脆弱性は、公開されているPoCが存在するため、悪用される可能性が高いと考えられます。CISA KEVリストへの登録状況は不明ですが、公開PoCの存在から、攻撃のリスクは高いと評価されます。攻撃者は、このPoCを利用して、ml-loggerを動作させているシステムをスキャンし、脆弱性を悪用する可能性があります。攻撃の早期発見と対応が重要です。

リスク対象者翻訳中…

Organizations deploying ml-logger in production environments, particularly those handling sensitive data, are at risk. Environments with limited network segmentation or inadequate input validation are especially vulnerable. Shared hosting environments using ml-logger are also at increased risk due to the potential for cross-tenant exploitation.

検出手順翻訳中…

• linux / server:

journalctl -u ml-logger -g 'path traversal'

• generic web:

curl -I <ml-logger-endpoint> | grep -i 'path traversal'

攻撃タイムライン

2025-09-25Disclosure
disclosure
2025-09-25PoC
poc

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.06% (18% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントml-logger

ベンダーgeyang

影響範囲修正版

acf255bade5be6ad88d90735c8367b28cbe3a743 – acf255bade5be6ad88d90735c8367b28cbe3a743255.0.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-09-25
公開日2025-09-25
更新日2025-09-26
EPSS 更新日2026-03-23

緩和策と回避策

まず、ml-loggerをバージョン255.0.1にアップデートすることを強く推奨します。アップデートが一時的にシステムに影響を与える可能性がある場合は、ロールバック手順を事前に準備しておく必要があります。WAFやプロキシサーバーを使用している場合は、ファイルパスの正規化やアクセス制御ルールを強化することで、攻撃を軽減できる可能性があります。また、ログ監視を強化し、異常なファイルアクセスパターンを検出するためのカスタムルールを実装することも有効です。アップデート後、ログファイルや設定ファイルへのアクセス権限を再確認し、不要なアクセス権限を削除してください。

修正方法翻訳中…

Actualice la biblioteca ml-logger a una versión posterior a acf255bade5be6ad88d90735c8367b28cbe3a743. Si no hay una versión disponible, revise el código de la función log_handler en server.py y corrija la vulnerabilidad de path traversal, validando y sanitizando la entrada del argumento File.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-10951 — パストラバーサルはml-loggerで何ですか？

CVE-2025-10951は、ml-logger (バージョン acf255bade5be6ad88d90735c8367b28cbe3a743以下) のlog_handler関数におけるパストラバーサル脆弱性です。攻撃者はこの脆弱性を悪用して、ファイルシステム上の任意のファイルにアクセスできる可能性があります。

CVE-2025-10951はml-loggerで影響を受けますか？

ml-loggerのバージョンがacf255bade5be6ad88d90735c8367b28cbe3a743以下の場合は、この脆弱性の影響を受けます。バージョン255.0.1へのアップデートが必要です。

CVE-2025-10951はml-loggerでどうやって修正しますか？

ml-loggerをバージョン255.0.1にアップデートすることで修正できます。アップデートがシステムに影響を与える場合は、事前にロールバック手順を準備してください。

CVE-2025-10951は積極的に悪用されていますか？

公開されているPoCが存在するため、悪用される可能性が高いと考えられます。攻撃のリスクは高くなっています。

CVE-2025-10951のml-logger公式アドバイザリはどこで入手できますか？

ml-loggerの公式アドバイザリは、プロジェクトのGitHubリポジトリまたは公式ウェブサイトで確認してください。