CVE-2025-5260は、Pik Online Yazılım Çözümleri A.Ş.が提供するPik Onlineにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性です。この脆弱性は、攻撃者がサーバーを介して任意の内部または外部リソースにアクセスできる可能性を秘めています。影響を受けるバージョンは0から3.1.5までであり、バージョン3.1.5へのアップデートで修正されています。
SSRF脆弱性は、攻撃者が内部ネットワークリソースへのアクセスを試行するために悪用される可能性があります。攻撃者は、Pik Onlineサーバーをプロキシとして利用し、本来アクセスできないはずの内部サービスやデータベースにアクセスを試みることが考えられます。これにより、機密情報の漏洩、システムの改ざん、さらにはネットワーク全体の侵害につながる可能性があります。攻撃者は、内部APIエンドポイントへのアクセスを試みたり、クラウドメタデータサービスへのアクセスを試みたりする可能性があります。
この脆弱性は、2025年8月20日に公開されました。現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。NVDデータベースも参照し、最新の情報を確認してください。
Organizations utilizing Pik Online, particularly those with sensitive internal resources accessible via HTTP/HTTPS, are at risk. Environments with older, unpatched Pik Online instances are especially vulnerable. Shared hosting environments where Pik Online is deployed alongside other applications should also be considered at higher risk.
disclosure
エクスプロイト状況
EPSS
0.07% (20% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、Pik Onlineをバージョン3.1.5にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合は、WAF(Web Application Firewall)を導入し、SSRF攻撃を検知・防御するルールを設定してください。また、Pik Onlineの設定において、許可されたリクエスト先を厳密に制限するなどの対策も有効です。ネットワークセグメンテーションを実施し、内部リソースへのアクセスを制限することも重要です。アップデート後、Pik Onlineのログを監視し、異常なリクエストがないか確認してください。
Pik Onlineをバージョン3.1.5以降にアップデートしてください。このアップデートはSSRFの脆弱性を修正します。アップデートの詳細については、アプリケーションの変更ログを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-5260は、Pik Onlineのバージョン0–3.1.5において、攻撃者がサーバーを介して任意の内部または外部リソースにアクセスできるサーバーサイドリクエストフォージェリ(SSRF)の脆弱性です。
はい、Pik Onlineのバージョン0–3.1.5を使用している場合、攻撃者は内部リソースへの不正アクセスを試行する可能性があります。
Pik Onlineをバージョン3.1.5にアップデートしてください。アップデートがすぐに利用できない場合は、WAFを導入するなど、緩和策を講じてください。
現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であるため、注意が必要です。
Pik Onlineの公式アドバイザリについては、Pik Onlineのウェブサイトまたは関連するセキュリティ情報源を参照してください。