プラットフォーム
other
コンポーネント
ni-system-web-server
修正版
12.0.1
CVE-2025-12097は、NI System Web Serverに存在するパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者は機密情報にアクセスできる可能性があります。影響を受けるバージョンはNI System Web Server 2012以前のバージョンであり、2013年に修正されました。最新バージョンへのアップデートを推奨します。
このパス・トラバーサル脆弱性は、攻撃者がNI System Web Serverに送信する特別に細工されたリクエストによって、サーバー上の任意のファイルにアクセスすることを可能にします。これにより、機密情報(設定ファイル、ソースコード、ログファイルなど)が漏洩する可能性があります。攻撃者は、この脆弱性を利用して、システムの設定を改ざんしたり、他のシステムへの攻撃の足がかりにしたりする可能性も考えられます。特に、機密情報を含むファイルがWebサーバーの公開ディレクトリに配置されている場合、攻撃の影響は甚大になる可能性があります。
この脆弱性は、NI System Web Server 2012以前のバージョンに存在し、攻撃者は特別に細工されたリクエストを送信することで悪用可能です。公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性であるため、攻撃者による悪用が懸念されます。CISA KEVへの登録状況は不明です。2025年12月4日に公開されました。
Organizations utilizing legacy NI System Web Server deployments, particularly those running versions 9.0.0 through 12.*, are at significant risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a compromise of one user's account could potentially expose data for other users.
disclosure
エクスプロイト状況
EPSS
0.13% (32% パーセンタイル)
CISA SSVC
CVSS ベクトル
NI System Web Serverのバージョンを2013以降にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートが困難な場合は、Webサーバーの設定を見直し、アクセス制御を強化することで、攻撃の影響を軽減できます。具体的には、アクセス可能なファイルやディレクトリを制限し、不要なファイルへのアクセスを遮断することが重要です。また、WAF(Web Application Firewall)を導入し、悪意のあるリクエストを検知・遮断することも有効な手段となります。
Actualice el NI System Web Server a una versión posterior a 2012. Esto solucionará la vulnerabilidad de path traversal. Consulte la documentación de NI para obtener instrucciones específicas sobre cómo actualizar el software.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-12097は、NI System Web Serverにおいて、攻撃者が特別に細工されたリクエストを送信することで、サーバー上の任意のファイルを読み取ることができるパス・トラバーサル脆弱性です。
NI System Web Serverのバージョンが9.0.0–12.*の場合、影響を受けます。バージョン2013以降にアップデートすることで、この脆弱性を解消できます。
NI System Web Serverのバージョンを2013以降にアップデートしてください。アップデートが困難な場合は、アクセス制御を強化し、WAFを導入するなど、緩和策を講じることを推奨します。
現時点では、積極的に悪用されているという報告はありませんが、パス・トラバーサル脆弱性であるため、攻撃者による悪用が懸念されます。
NI System Web Serverの公式アドバイザリは、NI社のウェブサイトで確認できます。詳細な情報については、NI社にお問い合わせください。