プラットフォーム
other
コンポーネント
filemegane
修正版
3.0.1
CVE-2025-20075は、FileMeganeにおいて検出されたサーバーサイドリクエストフォージェリ(SSRF)脆弱性です。この脆弱性を悪用されると、攻撃者はバックエンドWeb APIに対して任意の要求を送信し、サービスを再起動させることが可能になります。影響を受けるバージョンは、3.0.0.0より大きく3.4.0.0より前のバージョンです。3.4.0.0へのアップデートで修正されています。
このSSRF脆弱性は、攻撃者がFileMeganeサーバーを介して内部ネットワークリソースにアクセスすることを可能にします。攻撃者は、機密情報を含むバックエンドAPIを呼び出すことで、認証情報を盗んだり、設定データを取得したりする可能性があります。さらに、攻撃者は脆弱性を悪用して、FileMeganeサービスを再起動させ、サービス停止を引き起こす可能性があります。この脆弱性は、内部ネットワークへのアクセス権限がない攻撃者にとっても、内部リソースへの探索の足がかりとなる可能性があります。
CVE-2025-20075は、2025年2月17日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、SSRF脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。KEVへの登録状況は不明です。公開されているPoCは確認されていません。
Organizations deploying FileMegane versions 3.0.0.0 through 3.3.9.9 are at risk. This includes environments where FileMegane is used for file sharing or document management, particularly those with limited network segmentation or weak outbound access controls.
disclosure
エクスプロイト状況
EPSS
0.07% (23% パーセンタイル)
CISA SSVC
CVSS ベクトル
FileMeganeのバージョンを3.4.0.0以降にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートが困難な場合は、WAF(Web Application Firewall)を導入し、SSRF攻撃を検知・ブロックするルールを設定することを推奨します。また、FileMeganeの設定において、アクセス可能なバックエンドAPIを制限するなどの緩和策を講じることも有効です。アップデート後、FileMeganeのログを確認し、異常なリクエストがないか確認することで、脆弱性の悪用を検証できます。
FileMeganeをバージョン3.4.0.0以降にアップデートしてください。このアップデートは、バックエンドへの任意の要求実行を可能にするSSRF脆弱性を修正し、サービスの再起動につながる可能性を排除します。詳細については、ベンダーのセキュリティアドバイザリを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-20075は、FileMeganeの3.0.0.0より前のバージョンに存在するSSRF脆弱性です。攻撃者はこの脆弱性を悪用して、バックエンドWeb APIへの任意の要求を送信し、サービスを再起動させることが可能です。
FileMeganeのバージョンが3.0.0.0より大きく3.4.0.0より前である場合、この脆弱性の影響を受ける可能性があります。内部ネットワークへのアクセス権限がない攻撃者にとっても、内部リソースへの探索の足がかりとなる可能性があります。
FileMeganeのバージョンを3.4.0.0以降にアップデートすることで、この脆弱性を修正できます。アップデートが困難な場合は、WAFを導入するなど、緩和策を講じることを推奨します。
現時点では、CVE-2025-20075を悪用した具体的な攻撃事例は報告されていません。しかし、SSRF脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。
FileMeganeの公式アドバイザリは、FileMeganeの公式サイトまたは関連するセキュリティ情報サイトで確認できます。