HIGHCVE-2025-13855CVSS 7.6

IBM Storage Protect Serverは、認証されたユーザーがJSON-RPCエンドポイントを介して管理メタデータにアクセスできる脆弱性の影響を受けます。

プラットフォーム

ibm

コンポーネント

storage-protect-server

修正版

8.2.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-13855は、IBM Storage Protect Server 8.2.0およびIBM Storage Protect Plus Serverに存在するSQLインジェクションの脆弱性です。この脆弱性を悪用することで、リモートの攻撃者が特別に細工されたSQLステートメントを送信し、バックエンドデータベース内の情報を閲覧、追加、修正、または削除する可能性があります。影響を受けるバージョンは8.2.0から8.2.0です。現在、公式な修正パッチは提供されていません。

影響と攻撃シナリオ

CVE-2025-13855 は、IBM Storage Protect Server (および Storage Protect Plus Server) バージョン 8.2.0 に影響を与え、SQL インジェクションの脆弱性を導入します。リモートの攻撃者は、特別に細工された SQL ステートメントを送信することで、バックエンドデータベース内の情報を表示、追加、変更、または削除できる可能性があります。CVSS 重度スコアは 7.6 で、高いリスクを示しています。この脆弱性は、Storage Protect サーバーを実行するデータベースユーザーの権限に応じて、機密データの漏洩、データ整合性の操作、またはシステム侵害につながる可能性があります。現在の修正プログラムの欠如は状況を悪化させ、慎重なリスク評価と代替緩和策の実施が必要となります。

悪用の状況

CVE-2025-13855 の悪用には、リモートの攻撃者が Storage Protect サーバーにリクエストを送信できる必要があります。これは、悪意のある HTTP リクエストの送信または入力パラメータの操作など、さまざまな方法で実現できます。悪用の成功は、攻撃者がシステムにインジェクトできる SQL ステートメントを構築する能力に依存します。Storage Protect サーバーによるユーザー入力の不十分な検証により、これらの悪意のあるステートメントが実行され、データベースのセキュリティが損なわれます。修正プログラムがないことは、特に Storage Protect サーバーが信頼できないネットワークに公開されている環境において、悪用のリスクが高いことを意味します。

リスク対象者翻訳中…

Organizations utilizing IBM Storage Protect Server version 8.2.0 are at direct risk. Specifically, environments with limited network segmentation or those lacking robust WAF protection are more vulnerable. Any organization relying on the Storage Protect Server for critical data backup and recovery is potentially at risk, as a successful attack could compromise their data protection posture.

検出手順翻訳中…

• linux / server:

journalctl -u ibmssp | grep -i "SQL injection"

• generic web:

curl -I <storage_protect_server_url> | grep -i "SQL injection"

攻撃タイムライン

2026-04-01Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.11% (29% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントstorage-protect-server

ベンダーIBM

影響範囲修正版

8.2.0 – 8.2.08.2.1

弱点分類 (CWE)

CWE-89

タイムライン

予約済み2025-12-01
公開日2026-04-01
EPSS 更新日2026-04-08

未パッチ — 公開から53日経過

緩和策と回避策

IBM から CVE-2025-13855 の公式な修正プログラムがないため、組織はリスクを軽減するために代替緩和策を実装する必要があります。これには、Storage Protect サーバーへのアクセスを制限するためのネットワークセグメンテーション、疑わしいトラフィックをブロックするための制限付きファイアウォールルールの適用、サーバーログの異常なアクティビティの継続的な監視が含まれます。Storage Protect サーバーの構成をレビューして、最小特権の原則が適用され、堅牢なアクセス制御が実施されていることを強くお勧めします。IBM がパッチをリリースされたら、ソフトウェアのより新しいバージョンにアップグレードすることを検討してください。公式なソリューションが利用可能になるまで、継続的なリスク評価が不可欠です。

修正方法翻訳中…

Actualice IBM Storage Protect Server a una versión posterior a la 8.2.0 para corregir la vulnerabilidad de inyección SQL. Consulte el aviso de seguridad de IBM para obtener instrucciones detalladas sobre cómo obtener e instalar la actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-13855 とは何ですか？（Storage Protect Server の SQL Injection）

CVSS スコア 7.6 は、高いリスクを示し、脆弱性が深刻であり、セキュリティに大きな影響を与える可能性があることを意味します。

Storage Protect Server の CVE-2025-13855 による影響を受けていますか？

現在、IBM から CVE-2025-13855 の公式な修正プログラムはありません。

Storage Protect Server の CVE-2025-13855 を修正するにはどうすればよいですか？

ネットワークセグメンテーションやログ監視などの代替緩和策を実装し、IBM からの最新情報を入手してください。

CVE-2025-13855 は積極的に悪用されていますか？

最小特権の原則を適用し、堅牢なアクセス制御を実装し、ソフトウェアを最新の状態に保つようにしてください。

CVE-2025-13855 に関する Storage Protect Server の公式アドバイザリはどこで確認できますか？

IBM のセキュリティ速報やその他のオンラインセキュリティリソースを参照してください。