CVE-2025-21385は、Microsoft Purviewにおいて発生するサーバーサイドリクエストフォージェリ(SSRF)脆弱性です。この脆弱性を悪用されると、認証された攻撃者はネットワーク上の機密情報を不正に開示する可能性があります。影響を受けるバージョンはMicrosoft Purviewのすべてのバージョン(≤-)です。現時点では公式な修正プログラムは提供されていません。
このSSRF脆弱性は、攻撃者がMicrosoft Purviewシステムを介して内部ネットワークリソースにアクセスすることを可能にします。攻撃者は、内部サービス、データベース、または他の機密情報を含むシステムへのリクエストを送信できます。これにより、機密データの漏洩、システムへの不正アクセス、さらにはネットワーク全体の侵害につながる可能性があります。攻撃者は、内部ネットワーク内の他のシステムをスキャンし、脆弱性を特定するためにこの脆弱性を悪用する可能性があります。この脆弱性は、特に内部ネットワークが外部ネットワークと直接接続されている場合に、深刻なリスクをもたらします。
CVE-2025-21385は2025年1月9日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用されやすいと認識されています。CISA KEVカタログへの登録状況は不明です。攻撃者は、この脆弱性を利用して内部ネットワークをスキャンし、他の脆弱性を探す可能性があります。
Organizations heavily reliant on Microsoft Purview for data governance and compliance are at risk. Specifically, deployments with less stringent network security controls or those using older, unpatched versions of Purview are more vulnerable. Shared hosting environments where multiple tenants share the same infrastructure could also be affected if proper isolation measures are not in place.
• dotnet / server:
Get-Process -Name "Microsoft.Purview.Service" | Select-Object ProcessId, CPU, WorkingSet• generic web:
curl -I <purview_endpoint> | grep -i 'Server'disclosure
エクスプロイト状況
EPSS
48.32% (98% パーセンタイル)
CISA SSVC
CVSS ベクトル
公式な修正プログラムが提供されていないため、一時的な緩和策として、Microsoft Purviewへの外部からのアクセスを制限し、ネットワークファイアウォールを使用して内部リソースへのアクセスをブロックすることを推奨します。また、入力検証を強化し、許可されていないURLへのアクセスを防止するためのカスタムルールを実装することも有効です。WAF(Web Application Firewall)を導入し、SSRF攻撃を検知およびブロックするルールを設定することも検討してください。アクセスログを監視し、異常なリクエストを特定することも重要です。
Microsoft Purviewを最新バージョンにアップデートしてください。これによりSSRFの脆弱性が緩和され、ネットワークを介した不正な情報漏洩を防ぐことができます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-21385は、Microsoft Purviewにおいて発生するサーバーサイドリクエストフォージェリ(SSRF)脆弱性であり、攻撃者がネットワーク上の情報を不正に開示する可能性があります。
Microsoft Purviewのバージョンが≤-である場合、この脆弱性の影響を受ける可能性があります。
現時点では公式な修正プログラムは提供されていません。緩和策として、アクセス制限、WAFの導入、ログ監視などを実施してください。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用されやすいと認識されています。
Microsoftのセキュリティアドバイザリページで最新情報を確認してください。
packages.lock.json ファイルをアップロードすると、影響の有無を即座にお知らせします。