HIGHCVE-2025-46359CVSS 7.2

PowerCMSの複数のバージョンにおけるバックアップと復元機能にパス・トラバーサル（Path Traversal）の脆弱性が存在します。プロダクト管理者権限のユーザーは、細工されたバックアップファイルを復元することで任意のコードを実行できる可能性があります。

プラットフォーム

php

コンポーネント

powercms

修正版

6.7.1

5.3.1

4.6.1

AI Confidence: mediumNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-46359は、PowerCMSのバックアップと復元機能に存在するパストラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者は不正なバックアップファイルを復元し、システム上で任意のコードを実行する可能性があります。影響を受けるバージョンはPowerCMS 6.xシリーズの6.7以前です。PowerCMS 6.7.1以降に修正されています。

影響と攻撃シナリオ

この脆弱性は、認証された攻撃者（PowerCMSの製品管理者）が、システム上で任意のコードを実行することを可能にします。攻撃者は、慎重に作成されたバックアップファイルを復元することで、機密情報の窃取、システムの改ざん、さらには完全なシステム制御の奪取といった深刻な被害をもたらす可能性があります。この脆弱性は、Webアプリケーションのセキュリティを著しく損ない、ビジネスへの影響も大きくなる可能性があります。類似の脆弱性は、Webアプリケーションのバックアップ機能のセキュリティ設計における潜在的な問題を浮き彫りにします。

悪用の状況

この脆弱性は、2025年7月31日に公開されました。現時点では、公開されているPoCは確認されていませんが、パストラバーサル脆弱性であるため、悪用される可能性は否定できません。CISA KEVへの登録状況は不明です。攻撃者による悪用が確認された場合、迅速な対応が必要です。

リスク対象者翻訳中…

Organizations utilizing PowerCMS for content management, particularly those with product administrator accounts that have unrestricted access to the backup and restore functionality, are at risk. Shared hosting environments where multiple users share the same PowerCMS installation are also particularly vulnerable, as a compromised administrator account could impact all hosted sites.

検出手順翻訳中…

• php / server:

find /var/www/html/powercms/backups -name '*backup*' -print0 | xargs -0 grep -i '..\/..\/'

• generic web:

curl -I http://your-powercms-site.com/backup.php?file=../../../../etc/passwd

攻撃タイムライン

2025-07-31Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.25% (48% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントpowercms

ベンダーAlfasado Inc.

影響範囲修正版

6.7 and earlier (PowerCMS 6.x series) – 6.7 and earlier (PowerCMS 6.x series)6.7.1

5.3 and earlier (PowerCMS 5.x series) – 5.3 and earlier (PowerCMS 5.x series)5.3.1

4.6 and earlier (PowerCMS 4.x series) – 4.6 and earlier (PowerCMS 4.x series)4.6.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-07-30
公開日2025-07-31
EPSS 更新日2026-03-23

緩和策と回避策

PowerCMS 6.7.1以降へのアップデートが最も効果的な対策です。アップデートが困難な場合は、バックアップファイルの復元プロセスを厳格に制限するアクセス制御を実装することを検討してください。WAF（Web Application Firewall）を使用して、悪意のあるバックアップファイル復元リクエストをブロックすることも有効です。また、バックアップファイルの保存場所を制限し、不正アクセスを防ぐためのセキュリティ強化も重要です。アップデート後、バックアップ機能の正常性を確認し、脆弱性が解消されていることを確認してください。

修正方法翻訳中…

Actualice PowerCMS a la última versión disponible proporcionada por el proveedor, Alfasado Inc. Consulte las notas de la versión 6.71, 5.31 o 4.61 para obtener detalles específicos sobre la corrección de este problema de path traversal. Asegúrese de realizar una copia de seguridad de su sistema antes de aplicar la actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-46359 — パストラバーサルはPowerCMSで何ですか？

CVE-2025-46359は、PowerCMSのバックアップと復元機能におけるパストラバーサル脆弱性です。攻撃者は悪意のあるバックアップファイルを復元することで、システム上で任意のコードを実行できます。

CVE-2025-46359でPowerCMSを使用していますか？

PowerCMSのバージョンが6.7以前（6.xシリーズ）の場合、影響を受けます。バージョン6.7.1以降に修正されています。

CVE-2025-46359でPowerCMSを修正するにはどうすればよいですか？

PowerCMSをバージョン6.7.1以降にアップデートしてください。アップデートが困難な場合は、アクセス制御やWAFによる対策を検討してください。

CVE-2025-46359は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、悪用される可能性は否定できません。

CVE-2025-46359のPowerCMS公式アドバイザリはどこで入手できますか？

PowerCMSの公式ウェブサイトまたはセキュリティアドバイザリページで確認してください。