HIGHCVE-2025-13262CVSS 7.3

lsFusion Platform には Path Traversal の脆弱性があります

プラットフォーム

java

コンポーネント

lsfusion.platform:web-client

修正版

6.0.1

6.1.1

AI Confidence: highNVDEPSS 0.4%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-13262は、lsfusion platformのバージョン6.1以下に存在するパス・トラバーサル脆弱性です。攻撃者はUploadFileRequestHandlerのsid引数を操作することで、本来アクセスできないファイルシステム上のファイルにアクセスできる可能性があります。この脆弱性はリモートから悪用可能であり、機密情報の漏洩やシステムの改ざんにつながる恐れがあります。バージョン6.1.1以降に修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はファイルシステム上の機密ファイル（設定ファイル、ログファイル、ソースコードなど）を不正に読み出すことが可能になります。さらに、ファイルの上書きや削除といった操作も可能となり、システムの可用性を損なう可能性があります。攻撃者は、この脆弱性を踏み台として、内部ネットワークへのアクセスを試み、より広範囲な被害をもたらす可能性も否定できません。公開されているため、悪用されるリスクは高いと考えられます。

悪用の状況

この脆弱性は既に公開されており、悪用されるリスクが高いと考えられます。CISAのKEVリストへの登録状況は不明ですが、公開されているPoCが存在するため、攻撃者による悪用が現実的です。NVDおよびCISAの公開日は2025年11月17日です。

リスク対象者翻訳中…

Organizations deploying lsfusion platform in environments with limited access controls or those running older, unpatched versions (≤6.1) are at significant risk. Shared hosting environments utilizing lsfusion platform are particularly vulnerable due to the potential for cross-tenant exploitation.

検出手順翻訳中…

• java / server:

find /path/to/lsfusion/platform/web-client/src/main/java/lsfusion/http/controller/file/ -name "UploadFileRequestHandler.java"

• generic web:

curl -I 'http://your-lsfusion-server/path/to/file?sid=../../../../etc/passwd' # Check for 200 OK or other unexpected responses

攻撃タイムライン

2025-11-17Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.40% (60% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントlsfusion.platform:web-client

ベンダーosv

影響範囲修正版

6.0 – 6.06.0.1

6.1 – 6.16.1.1

6.16.1.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-11-16
公開日2025-11-17
更新日2025-11-27
EPSS 更新日2026-03-23

緩和策と回避策

まず、lsfusion platformをバージョン6.1.1以降にアップデートすることを強く推奨します。アップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）やリバースプロキシを設定し、UploadFileRequestHandlerへの不正なリクエストをブロックするルールを実装してください。また、ファイルアップロード機能の入力検証を強化し、sid引数に不正な文字列が含まれないように制限することも有効です。アップデート後、ファイルシステムへの不正アクセスがないか、ログを監視し、確認してください。

修正方法翻訳中…

Actualizar la plataforma lsfusion a una versión posterior a la 6.1 que corrija la vulnerabilidad de path traversal en el componente UploadFileRequestHandler. Consultar el sitio web del proveedor para obtener la última versión y las instrucciones de actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-13262 — パス・トラバーサルはlsfusion platformで何ですか？

CVE-2025-13262は、lsfusion platformのバージョン6.1以下に存在するパス・トラバーサル脆弱性で、攻撃者がUploadFileRequestHandlerのsid引数を操作することで、ファイルシステムへの不正アクセスを試みることが可能になります。

CVE-2025-13262はlsfusion platformで影響を受けますか？

lsfusion platformのバージョンが6.1以下の場合、この脆弱性の影響を受けます。バージョン6.1.1以降に修正されていますので、速やかにアップデートしてください。

CVE-2025-13262はlsfusion platformでどのように修正しますか？

lsfusion platformをバージョン6.1.1以降にアップデートすることで修正できます。アップデートが困難な場合は、WAFやリバースプロキシで不正なリクエストをブロックするルールを実装してください。

CVE-2025-13262は積極的に悪用されていますか？

この脆弱性は既に公開されており、悪用されるリスクが高いと考えられます。攻撃者による悪用が現実的です。

CVE-2025-13262のlsfusion platform公式アドバイザリはどこで入手できますか？

lsfusion platformの公式アドバイザリは、lsfusionのウェブサイトで確認できます。詳細は、CVE-2025-13262に関する公式情報を参照してください。