HIGHCVE-2025-30005CVSS 8.3

Xorcom CompletePBX <= 5.2.35 認証済みパス・トラバーサルとファイル削除

Q: CVE-2025-30005 — パス・トラバーサルはCompletePBXで何ですか？

CVE-2025-30005は、Xorcom CompletePBXのDiagnosticsレポートモジュールにおけるパス・トラバーサル脆弱性で、攻撃者が任意のファイルを読み取ったり削除したりできる可能性があります。

Q: CVE-2025-30005でCompletePBXを使用しています。影響を受けますか？

CompletePBXのバージョンが0から5.2.35までの場合は、この脆弱性の影響を受けます。5.2.36以上にアップデートしてください。

Q: CVE-2025-30005でCompletePBXを修正するにはどうすればよいですか？

CompletePBXをバージョン5.2.36にアップデートしてください。アップデートが難しい場合は、ファイアウォールルールやWAFによる緩和策を検討してください。

Q: CVE-2025-30005は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、悪用される可能性は否定できません。

Q: CVE-2025-30005のCompletePBX公式アドバイザリはどこで入手できますか？

Xorcomの公式ウェブサイトまたはセキュリティアドバイザリページで、CVE-2025-30005に関する情報を確認してください。

プラットフォーム

other

コンポーネント

completepbx

修正版

5.2.36

AI Confidence: highNVDEPSS 74.7%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-30005は、Xorcom CompletePBXのDiagnosticsレポートモジュールにおけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者は任意のファイルを読み取ることができ、さらに、意図したレポートの代わりにファイルを削除することが可能です。この脆弱性は、CompletePBXのバージョン0から5.2.35までのすべてのバージョンに影響を与えます。5.2.36へのアップデートで修正されています。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性は、攻撃者がCompletePBXサーバ上の機密ファイルにアクセスすることを可能にします。例えば、設定ファイル、データベースダンプ、ログファイルなどが標的となる可能性があります。攻撃者は、これらのファイルからパスワード、APIキー、その他の機密情報を取得し、システムへのさらなるアクセスを試みたり、データ漏洩を引き起こしたりする可能性があります。また、ファイルの削除機能が悪用されると、システムの可用性が損なわれる可能性があります。この脆弱性は、類似のファイルアクセス脆弱性と同様に、攻撃者による情報窃取やシステム破壊につながる重大なリスクをもたらします。

悪用の状況

CVE-2025-30005は、2025年3月31日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性であるため、悪用される可能性は否定できません。CISA KEVリストへの登録状況は不明です。NVDデータベースも参照し、最新の情報を確認することをお勧めします。

リスク対象者翻訳中…

Organizations utilizing CompletePBX for VoIP services, particularly those running older versions (0–5.2.35), are at risk. Shared hosting environments where multiple CompletePBX instances reside on the same server are especially vulnerable, as a compromise of one instance could potentially lead to the compromise of others. Systems with publicly accessible CompletePBX instances are also at higher risk.

検出手順翻訳中…

• linux / server:

journalctl -u completepbx | grep -i "path traversal"

• generic web:

curl -I 'http://<completepbx_ip>/diagnostics/../../../../etc/passwd' # Check for file disclosure

攻撃タイムライン

2025-03-31Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

74.71% (99% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントcompletepbx

ベンダーXorcom

影響範囲修正版

0 – 5.2.355.2.36

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-03-13
公開日2025-03-31
更新日2025-12-27
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応として、まずCompletePBXをバージョン5.2.36にアップデートすることを推奨します。アップデートが利用できない場合、一時的な緩和策として、Diagnosticsレポートモジュールのアクセスを制限するファイアウォールルールを実装することを検討してください。また、Webアプリケーションファイアウォール（WAF）を使用して、パス・トラバーサル攻撃を検知し、ブロックすることも有効です。さらに、CompletePBXサーバのログを定期的に監視し、不審なアクティビティがないか確認することが重要です。アップデート後、Diagnosticsレポートモジュールの動作を検証し、意図しないファイルアクセスや削除が発生しないことを確認してください。

修正方法翻訳中…

Actualice CompletePBX a la versión 5.2.36 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal y eliminación de archivos. La actualización se puede realizar a través del panel de administración de CompletePBX o descargando la última versión desde el sitio web oficial de Xorcom.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-30005 — パス・トラバーサルはCompletePBXで何ですか？