HIGHCVE-2025-25301CVSS 7.5

CVE-2025-25301

Q: CVE-2025-25301 in Rembgに影響を受けますか？

Rembgのバージョン2.0.57以前を使用している場合は、影響を受ける可能性があります。

Q: CVE-2025-25301 in Rembgを修正するにはどうすればよいですか？

Rembgをバージョン2.0.58以降にアップデートしてください。

Q: CVE-2025-25301は積極的に悪用されていますか？

現時点では、公的なPoCは確認されていませんが、情報漏洩の可能性から、悪用が懸念されます。

Q: CVE-2025-25301に関するRembgの公式アドバイザリはどこで入手できますか？

Rembgの公式アドバイザリは、Rembgのプロジェクトページまたは関連するセキュリティコミュニティで確認してください。

翻訳中…

プラットフォーム

python

コンポーネント

rembg

修正版

2.0.58

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

Rembgは、画像の背景を削除するためのツールです。CVE-2025-25301は、Rembgの/api/removeエンドポイントにおける情報漏洩の脆弱性です。攻撃者は、このエンドポイントを悪用して、Rembgサーバーの内部ネットワークにホストされている画像を表示できる可能性があります。この脆弱性は、Rembgのバージョン2.0.57以前に影響を与え、2.0.58で修正されました。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はRembgサーバーの内部ネットワークに存在する画像に不正にアクセスし、閲覧することが可能になります。これは、機密情報を含む画像が内部ネットワークに保存されている場合、重大な情報漏洩につながる可能性があります。攻撃者は、この脆弱性を利用して、内部ネットワークの他のリソースへのアクセスを試みる可能性も考えられます。特に、画像処理パイプラインが他のシステムと連携している場合、攻撃の影響範囲は広がる可能性があります。

悪用の状況

この脆弱性は、2025年3月3日に公開されました。現時点では、公的なPoCは確認されていませんが、情報漏洩の可能性から、攻撃者による悪用が懸念されます。CISA KEVへの登録状況は不明です。Rembgの利用状況や内部ネットワークの構成によっては、攻撃のリスクが高まる可能性があります。

リスク対象者翻訳中…

Organizations utilizing Rembg for background removal, particularly those deploying it within internal networks or behind firewalls, are at risk. Shared hosting environments where Rembg is installed alongside other applications could also be vulnerable if the server configuration allows access to internal resources.

検出手順翻訳中…

• python / server:

# Check Rembg version
pip show rembg

• python / server:

import subprocess
result = subprocess.run(['pip', 'show', 'rembg'], capture_output=True, text=True)
if result.returncode == 0:
    version = result.stdout.split('Version: ')[1].split('\n')[0]
    if version <= '2.0.57':
        print('Vulnerability detected: Rembg version is vulnerable.')
    else:
        print('Rembg version is patched.')
else:
    print('Rembg is not installed.')

攻撃タイムライン

2025-03-03Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.06% (18% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントrembg

ベンダーosv

影響範囲修正版

<= 2.0.57 – <= 2.0.572.0.58

2.0.572.0.58

—2.0.58

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-02-06
公開日2025-03-03
更新日2025-04-09
EPSS 更新日2026-04-02

公開後-210日でパッチ適用

緩和策と回避策

この脆弱性への対応策として、Rembgをバージョン2.0.58以降にアップデートすることを推奨します。アップデートが困難な場合は、/api/removeエンドポイントへの外部からのアクセスを制限するWAFルールやプロキシ設定を検討してください。また、内部ネットワークへのアクセス制御を強化し、不要なポートを閉じることで、攻撃の影響範囲を限定できます。Rembgのログを監視し、不正なアクセスがないか確認することも重要です。アップデート後、/api/removeエンドポイントへのアクセスをテストし、画像が正しく処理されることを確認してください。

修正方法

Rembgライブラリを2.0.57より後のバージョンにアップデートしてください。これにより、/api/removeエンドポイントのSSRF脆弱性が修正されます。背景削除機能を通じてアクセスできるドメインを制限するために、URLの検証またはホワイトリストの実装を検討してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-25301 — 情報漏洩 in Rembgとは何ですか？

CVE-2025-25301は、Rembgの/api/removeエンドポイントにおける情報漏洩の脆弱性です。攻撃者は、このエンドポイントを悪用して、内部ネットワーク上の画像にアクセスできる可能性があります。

CVE-2025-25301 in Rembgに影響を受けますか？