LOWCVE-2025-30207CVSS 2.5

KirbyはPHPの組み込みサーバーのルーターでパス・トラバーサル脆弱性があります

Q: CVE-2025-30207はgetkirby/cmsで影響を受けますか？

はい、getkirby/cmsのバージョン3.9.8.2以前を使用している場合は、この脆弱性に影響を受ける可能性があります。特に、PHPの組み込みサーバーを使用しているローカル開発環境で注意が必要です。

Q: CVE-2025-30207はgetkirby/cmsでどのように修正しますか？

getkirby/cmsをバージョン3.9.8.3以降にアップデートすることで、この脆弱性を修正できます。ローカル開発環境でPHPの組み込みサーバーを使用している場合は、アップデートを優先してください。

Q: CVE-2025-30207のgetkirby/cms公式アドバイザリはどこで入手できますか？

getkirby/cmsの公式アドバイザリは、getkirby.com/docs/securityで確認できます。

プラットフォーム

php

コンポーネント

getkirby/cms

修正版

3.9.9

3.10.1

4.0.1

3.9.8.3

AI Confidence: highNVDEPSS 0.6%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-30207は、getkirby/cmsのバージョン3.9.8.2以前に存在するパス・トラバーサル脆弱性です。攻撃者は、PHPの組み込みサーバーを使用しているローカル開発環境において、ファイルシステム上の機密情報にアクセスできる可能性があります。この脆弱性は、getkirby/cms 3.9.8.3へのアップデートによって修正されています。

影響と攻撃シナリオ

この脆弱性は、getkirby/cmsがPHPの組み込みサーバーを使用してローカルで実行されている場合にのみ影響します。攻撃者は、パス・トラバーサル攻撃を利用して、ウェブサーバーのドキュメントルート外にあるファイルにアクセスできます。これにより、ソースコード、設定ファイル、データベースのバックアップなど、機密情報が漏洩する可能性があります。攻撃者は、この脆弱性を悪用して、サーバー上で任意のコードを実行できる可能性も否定できません。ただし、Apache、nginx、Caddyなどの他のサーバーソフトウェアを使用している環境では、この脆弱性は影響しません。

悪用の状況

この脆弱性は、2025年5月13日に公開されました。現時点では、公開されているPoCは確認されていませんが、ローカル開発環境でのみ影響を受けるため、攻撃対象領域は限定的です。CISA KEVリストへの登録は確認されていません。この脆弱性の悪用は、ローカル開発環境のセキュリティ設定が不十分な場合に発生する可能性があります。

リスク対象者翻訳中…

Developers and system administrators using getkirby/cms in local development environments with PHP's built-in web server are at the highest risk. Shared hosting environments that default to PHP's built-in server for development purposes are also potentially vulnerable. Those using Kirby CMS for local testing or prototyping are particularly susceptible.

検出手順翻訳中…

• php: Check for the presence of router.php in the document root and verify that PHP's built-in web server is not enabled in production.

ps aux | grep -i php-fpm

• generic web: Examine access logs for unusual file requests containing .. sequences.

grep '../' /var/log/apache2/access.log

攻撃タイムライン

2025-05-13Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.59% (69% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントgetkirby/cms

ベンダーosv

影響範囲修正版

< 3.9.8.3 – < 3.9.8.33.9.9

>= 3.10.0, < 3.10.1.2 – >= 3.10.0, < 3.10.1.23.10.1

>= 4.0.0, < 4.7.1 – >= 4.0.0, < 4.7.14.0.1

—3.9.8.3

弱点分類 (CWE)

CWE-22 CWE-23

タイムライン

予約済み2025-03-18
公開日2025-05-13
EPSS 更新日2026-03-23

公開後-7日でパッチ適用

緩和策と回避策

この脆弱性への主な対策は、getkirby/cmsをバージョン3.9.8.3以降にアップデートすることです。ローカル開発環境でPHPの組み込みサーバーを使用している場合は、特にアップデートを優先してください。もしアップデートが困難な場合は、PHPの組み込みサーバーの使用を避け、Apache、nginx、Caddyなどの別のサーバーソフトウェアを使用することを検討してください。WAFやプロキシサーバーを導入し、不正なパス・トラバーサル攻撃を検知・防御することも有効です。

修正方法

Kirbyをバージョン3.9.8.3、3.10.1.2、または4.7.1にアップデートするか、それ以降のバージョンにアップデートしてください。これにより、PHPの組み込みサーバーを使用する際のルーターのパス・トラバーサル脆弱性が修正されます。直ちにアップデートできない場合は、本番環境でPHPの組み込みサーバーの使用を避けてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-30207 — パス・トラバーサルはgetkirby/cmsとは何ですか？

CVE-2025-30207は、getkirby/cmsのバージョン3.9.8.2以前に存在するパス・トラバーサル脆弱性です。攻撃者は、PHPの組み込みサーバーを使用しているローカル開発環境において、ファイルシステム上の機密情報にアクセスできる可能性があります。

CVE-2025-30207はgetkirby/cmsで影響を受けますか？