プラットフォーム
dotnet
コンポーネント
microsoft-power-apps
Microsoft Power Appsにおけるサーバーサイドリクエストフォージェリ(SSRF)脆弱性(CVE-2025-47733)は、攻撃者がネットワーク上の機密情報を不正に開示する可能性を秘めています。この脆弱性は、Power Appsの処理において、攻撃者が任意のURLをリクエストさせ、その応答をPower Apps内で利用できる状況を悪用します。影響を受けるバージョンは、現時点では特定されていません。修正プログラムの提供を待つ必要があります。
このSSRF脆弱性を悪用されると、攻撃者はPower Appsがアクセスできる内部ネットワークリソースにアクセスし、機密情報を盗み出す可能性があります。例えば、内部データベース、APIエンドポイント、または他の機密データが保存されている場所にアクセスし、その内容を窃取することが考えられます。攻撃者は、この脆弱性を利用して、内部ネットワークへの侵入経路を確立し、さらなる攻撃を実行する可能性もあります。この脆弱性は、組織の機密データ漏洩、システムへの不正アクセス、およびサービス停止につながる重大なリスクをもたらします。
この脆弱性は、2025年5月8日に公開されました。現時点では、公的なPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であり、早期に悪用される可能性があります。CISA KEVリストへの登録状況は不明です。攻撃者によるスキャンや悪用試行に備え、監視体制を強化する必要があります。
Organizations heavily reliant on Microsoft Power Apps for business processes, particularly those integrating with internal systems or APIs, are at significant risk. Environments with weak network segmentation or inadequate input validation are especially vulnerable. Any deployment of Power Apps prior to the fixed version is potentially exposed.
• windows / dotnet: Monitor Power Apps logs for outbound requests to unexpected internal or external IP addresses or domains. Use PowerShell to check for unusual network connections initiated by Power Apps processes.
Get-Process -Name "PowerAppsService" | ForEach-Object { Get-NetTCPConnection -OwningProcess $_.Id }• generic web: Monitor web server access logs for requests originating from Power Apps that target internal resources. Examine response headers for signs of SSRF exploitation (e.g., unusual server names or IP addresses). • database (mysql, redis, mongodb, postgresql): While less direct, monitor database logs for unusual connection attempts or queries originating from Power Apps, which could indicate an attacker attempting to leverage SSRF to access database information.
disclosure
エクスプロイト状況
EPSS
2.92% (86% パーセンタイル)
CISA SSVC
CVSS ベクトル
現時点では、Microsoftから公式な修正プログラムが提供されていません。そのため、一時的な緩和策として、Power Appsで使用する外部URLのリストを厳密に制限し、信頼できるURLのみを許可するホワイトリストを実装することが推奨されます。また、Power Appsのネットワークアクセスを必要最小限に制限し、不要な外部リクエストをブロックするファイアウォールルールを設定することも有効です。Power Appsのアクセスログを監視し、異常なリクエストを検知するための監視体制を構築することも重要です。Microsoftからの修正プログラムの提供を注視し、提供され次第速やかに適用してください。
Microsoft ha publicado una actualización de seguridad para solucionar esta vulnerabilidad. Se recomienda aplicar la última actualización disponible para Microsoft Power Pages lo antes posible. Consulte el boletín de seguridad de Microsoft para obtener más información e instrucciones específicas.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-47733は、Microsoft Power Appsにおけるサーバーサイドリクエストフォージェリ(SSRF)脆弱性であり、攻撃者がネットワーク上の情報を不正に開示する可能性があります。
Microsoft Power Appsを利用している場合は、影響を受ける可能性があります。特に、外部システムとの連携や内部ネットワークへのアクセス権限を持つユーザーが利用している場合は注意が必要です。
現時点では、Microsoftから公式な修正プログラムは提供されていません。一時的な緩和策として、外部URLの制限やファイアウォールルールの設定を検討してください。
現時点では、公的なPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であり、早期に悪用される可能性があります。
Microsoftのセキュリティアドバイザリページで、CVE-2025-47733に関する情報を確認してください。
packages.lock.json ファイルをアップロードすると、影響の有無を即座にお知らせします。