LOWCVE-2025-47293CVSS 2.5

PowSyBl Core XML リーダーは XXE および SSRF を許可する

Q: CVE-2025-47293 — SSRF in com.powsybl.powsybl-commonsとは何ですか？

CVE-2025-47293は、com.powsybl.powsybl-commonsライブラリのXMLパーサーにおけるXXEおよびSSRF脆弱性です。攻撃者は、XML入力を悪用して、機密ファイルへのアクセスを試みたり、内部リソースへのアクセスを試みたりする可能性があります。

Q: CVE-2025-47293 in com.powsybl.powsybl-commonsの影響はありますか？

はい、バージョン6.7.1以下のcom.powsybl.powsybl-commonsを使用している場合、影響を受ける可能性があります。攻撃者は、XML入力を悪用して、機密ファイルへのアクセスを試みたり、内部リソースへのアクセスを試みたりする可能性があります。

Q: CVE-2025-47293 in com.powsybl.powsybl-commonsを修正するにはどうすればよいですか？

バージョン6.7.2以降へのアップグレードが推奨されます。アップグレードが困難な場合は、XML入力の検証を強化し、WAFやプロキシサーバーを使用して悪意のあるリクエストをブロックしてください。

Q: CVE-2025-47293は積極的に悪用されていますか？

現時点では、公的なPoCは確認されていませんが、XXEおよびSSRF攻撃の可能性から、悪用されるリスクは存在します。

Q: CVE-2025-47293に関するcom.powsyblの公式アドバイザリはどこで入手できますか？

com.powsyblの公式アドバイザリは、今後の情報公開をお待ちください。関連するセキュリティ情報を常に監視することをお勧めします。

プラットフォーム

java

コンポーネント

com.powsybl:powsybl-commons

修正版

6.7.3

6.7.2

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-47293は、com.powsybl.powsybl-commonsライブラリのXMLパーサーに存在するXXE（XML External Entity）およびSSRF（Server-Side Request Forgery）脆弱性です。この脆弱性を悪用されると、攻撃者はシステム上の機密ファイルへのアクセスを試み、権限を昇格させることが可能です。影響を受けるバージョンは6.7.1以下ですが、バージョン6.7.2以降で修正されています。

影響と攻撃シナリオ

この脆弱性は、com.powsybl.powsybl-commonsライブラリのcom.powsybl.commons.xml.XmlReaderクラスにおけるXML処理の不備に起因します。攻撃者は、悪意のあるXML入力を送信することで、XXE攻撃を実行し、サーバー上のローカルファイルを読み出す可能性があります。さらに、SSRF攻撃も可能となり、攻撃者はサーバーから任意のURLへのリクエストを送信し、内部リソースへのアクセスを試みたり、外部サービスへの攻撃を仕掛けたりする可能性があります。特に、マルチテナント環境でこのライブラリを使用している場合、他のテナントへの影響も考慮する必要があります。

悪用の状況

この脆弱性は、2025年6月19日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、XXEおよびSSRF攻撃の可能性から、悪用されるリスクは存在します。CISA KEV（Known Exploited Vulnerabilities）カタログへの登録状況は不明です。攻撃者は、この脆弱性を利用して、機密情報の窃取や、内部ネットワークへの侵入を試みる可能性があります。

リスク対象者翻訳中…

Applications utilizing com.powsybl:powsybl-commons versions 6.7.1 or earlier are at risk. This includes Java-based applications, particularly those that process XML data from untrusted sources, such as multi-tenant applications or those integrating with external systems. Legacy systems that have not been regularly updated are also at increased risk.

検出手順翻訳中…

• java / server:

find / -name "powsybl-commons-*.jar" -print0 | xargs -0 java -jar <jar_file> -Djava.security.xml.external.entities=null -Djava.security.xml.external.dtd=null

• linux / server:

journalctl -u <application_name> | grep -i "xml parsing"

• generic web:

curl -I <application_url>/xml-endpoint | grep -i "Server: Powsybl"

攻撃タイムライン

2025-06-19Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.07% (22% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントcom.powsybl:powsybl-commons

ベンダーosv

影響範囲修正版

< 6.7.2 – < 6.7.26.7.3

—6.7.2

弱点分類 (CWE)

CWE-611 CWE-918

タイムライン

予約済み2025-05-05
公開日2025-06-19
更新日2025-06-20
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、まずバージョン6.7.2以降へのアップグレードが推奨されます。アップグレードが困難な場合は、XML入力の検証を強化し、XXE攻撃を防止するための設定を有効にしてください。WAF（Web Application Firewall）やプロキシサーバーを使用して、悪意のあるXMLリクエストをブロックすることも有効です。また、XMLパーサーのセキュリティ設定を適切に構成し、外部エンティティの読み込みを制限することも重要です。アップグレード後、XMLパーサーのログを監視し、不正なアクセスがないか確認してください。

修正方法

powsybl-commons ライブラリをバージョン 6.7.2 以降にアップデートしてください。これにより、XML リーダーの XXE および SSRF 脆弱性が修正されます。バージョン競合を避けるために、powsybl-commons を使用するすべての依存関係もアップデートするようにしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-47293 — SSRF in com.powsybl.powsybl-commonsとは何ですか？