HIGHCVE-2025-3884CVSS 7.5

Cloudera Hue Ace Editor ディレクトリトラバーサルによる情報漏洩の脆弱性

プラットフォーム

other

コンポーネント

cloudera-hue-ace-editor

修正版

4.11.1

AI Confidence: highNVDEPSS 9.8%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-3884は、Cloudera Hue Ace Editorにおいて、ディレクトリトラバーサルによる情報漏洩の脆弱性です。認証なしに攻撃者が機密情報を開示する可能性があります。この脆弱性は、Cloudera Hueのバージョン4.11.0–4.11.0に影響を与えます。バージョン4.11.1へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用すると、攻撃者は認証なしでCloudera Hue Ace Editorを通じてファイルシステムを探索し、機密情報を開示する可能性があります。特に、サービスアカウントの権限で機密ファイルへのアクセスが可能となり、システム設定、パスワード、またはその他の機密データが漏洩するリスクがあります。攻撃者は、この脆弱性を利用して、システム内の他のリソースへのアクセスを試み、さらなる攻撃の足がかりにすることも考えられます。類似の脆弱性は、ファイル操作における入力検証の不備から発生することが多く、情報漏洩のリスクを高めます。

悪用の状況

この脆弱性は、2025年5月22日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、ディレクトリトラバーサル脆弱性は一般的に悪用が容易であり、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

Organizations utilizing Cloudera Hue version 4.11.0, particularly those with publicly accessible Hue instances or those lacking robust file access controls, are at significant risk. Shared hosting environments where multiple users share the same Hue instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability to access data belonging to other users.

検出手順翻訳中…

• linux / server:

journalctl -u hue -g "Ace Editor" | grep -i "file access"

• generic web:

curl -I <hue_url>/ace/editor/index.html?file=/etc/passwd

• generic web:

grep -r "ace/editor/index.html?file=" /var/log/apache2/access.log

攻撃タイムライン

2025-05-22Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

9.79% (93% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントcloudera-hue-ace-editor

ベンダーCloudera

影響範囲修正版

4.11.0 – 4.11.04.11.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-04-22
公開日2025-05-22
EPSS 更新日2026-03-23

緩和策と回避策

Cloudera Hue Ace Editorのバージョンを4.11.1以降にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートが利用できない場合、一時的な回避策として、Ace Editorがアクセスできるファイルパスを制限するファイアウォールルールやプロキシ設定を検討してください。また、WAF（Web Application Firewall）を導入し、ディレクトリトラバーサルのパターンを検知・ブロックするルールを設定することも有効です。アクセスログを監視し、不審なファイルアクセスを早期に検知することも重要です。アップデート後、Ace Editorが正常に動作すること、および機密ファイルへの不正アクセスがないことを確認してください。

修正方法翻訳中…

Actualice Cloudera Hue a una versión posterior a la 4.11.0 que haya solucionado la vulnerabilidad de directory traversal en el Ace Editor. Consulte las notas de la versión de Cloudera para obtener más detalles sobre la actualización y las mitigaciones específicas.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-3884 — ディレクトリトラバーサルはCloudera Hue Ace Editorで何ですか？

CVE-2025-3884は、Cloudera Hue Ace Editorのバージョン4.11.0–4.11.0において、認証なしで攻撃者が機密情報を開示する可能性があるディレクトリトラバーサルの脆弱性です。

CVE-2025-3884でCloudera Hue Ace Editorを使用しています。影響を受けますか？

Cloudera Hue Ace Editorのバージョンが4.11.0–4.11.0である場合、この脆弱性の影響を受けます。バージョン4.11.1以降にアップデートしてください。

CVE-2025-3884でCloudera Hue Ace Editorを修正するにはどうすればよいですか？

Cloudera Hue Ace Editorをバージョン4.11.1以降にアップデートしてください。アップデートが利用できない場合は、ファイアウォールルールやWAFの設定で一時的な回避策を検討してください。

CVE-2025-3884は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、ディレクトリトラバーサル脆弱性は一般的に悪用が容易であり、攻撃者による悪用が懸念されます。

CVE-2025-3884のCloudera公式アドバイザリはどこで入手できますか？

Clouderaの公式アドバイザリは、Clouderaのセキュリティアドバイザリページで確認できます。