MEDIUMCVE-2025-36375CVSS 6.5

IBM DataPower Gateway に CSRF の脆弱性が存在します

プラットフォーム

ibm

コンポーネント

datapower-gateway

修正版

10.6.6

10.5.1

10.6.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-36375は、IBM DataPower Gatewayにおけるクロスサイトリクエストフォージェリ（CSRF）の脆弱性です。この脆弱性は、攻撃者が正規のユーザーとして不正なアクションを実行することを可能にする可能性があります。影響を受けるバージョンは、DataPower Gateway 10.5.0.0から10.6.5.0です。IBMは修正済みバージョンへのアップグレードを推奨しています。

影響と攻撃シナリオ

このCSRF脆弱性を悪用されると、攻撃者は認証済みユーザーになりすまして、DataPower Gatewayの設定を変更したり、機密情報にアクセスしたりする可能性があります。例えば、攻撃者は、ユーザーが意図しない設定変更を強制したり、機密データを外部に送信したりする可能性があります。この脆弱性は、DataPower Gatewayのセキュリティを著しく損ない、ビジネスへの影響も大きくなる可能性があります。攻撃者は、正規のユーザーのセッションを乗っ取り、DataPower Gatewayの管理権限を取得する可能性があります。

悪用の状況

この脆弱性は、2026年4月1日に公開されました。現時点では、公的に利用可能なPoCは確認されていませんが、CSRF脆弱性は比較的悪用が容易であるため、将来的に悪用される可能性があります。CISA KEVカタログへの登録状況は不明です。攻撃者は、正規のユーザーの行動を模倣することで、この脆弱性を悪用する可能性があります。

リスク対象者翻訳中…

Organizations heavily reliant on IBM DataPower Gateway for network security and data management are at increased risk. This includes those using the gateway to manage sensitive data, control critical infrastructure, or integrate with other business-critical systems. Shared hosting environments where multiple users share a DataPower Gateway instance are also particularly vulnerable.

検出手順翻訳中…

• linux / server:

journalctl -u datapower -g "CSRF attack"

• generic web:

curl -I https://datapower_gateway/ | grep -i 'referer:'

攻撃タイムライン

2026-04-01Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.02% (4% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdatapower-gateway

ベンダーIBM

影響範囲修正版

10.6.1.0 – 10.6.5.010.6.6

10.5.0.0 – 10.5.0.2010.5.1

10.6.0.0 – 10.6.0.810.6.1

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2025-04-15
公開日2026-04-01
更新日2026-04-03
EPSS 更新日2026-04-09

未パッチ — 公開から53日経過

緩和策と回避策

この脆弱性への対応策として、まず、DataPower Gatewayをバージョン10.6.5.0以降にアップグレードすることを強く推奨します。アップグレードが困難な場合は、WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御するルールを設定してください。また、DataPower Gatewayへのアクセスを制限し、不要な機能を無効化することで、攻撃対象領域を縮小することも有効です。アップグレード後、DataPower Gatewayの設定が正常であることを確認し、CSRF攻撃が発生していないかログを監視してください。

修正方法

CSRF に脆弱でないバージョンに IBM DataPower Gateway をアップデートしてください。詳細と具体的なアップデート手順については、IBM のアドバイザリを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-36375 — CSRF in IBM DataPower Gatewayとは何ですか？

CVE-2025-36375は、IBM DataPower Gatewayのバージョン10.5.0.0～10.6.5.0において、攻撃者が正規のユーザーとして不正なアクションを実行できるクロスサイトリクエストフォージェリ（CSRF）の脆弱性です。

CVE-2025-36375 in IBM DataPower Gatewayの影響はありますか？

はい、DataPower Gatewayのバージョン10.5.0.0～10.6.5.0を使用している場合は、影響を受ける可能性があります。攻撃者は、設定変更や機密情報へのアクセスを試みる可能性があります。

CVE-2025-36375 in IBM DataPower Gatewayを修正するにはどうすればよいですか？

DataPower Gatewayをバージョン10.6.5.0以降にアップグレードすることを強く推奨します。アップグレードが困難な場合は、WAFを導入するなど、緩和策を講じてください。

CVE-2025-36375は積極的に悪用されていますか？

現時点では、公的に利用可能なPoCは確認されていませんが、将来的に悪用される可能性があります。

CVE-2025-36375に関するIBMの公式アドバイザリはどこで入手できますか？

IBMの公式アドバイザリは、IBM Security Support Portalで確認できます。