サーバーサイドリクエストフォージェリ (SSRF) の脆弱性が Nimesa Backup and Recovery の複数のバージョンに存在します。この脆弱性が悪用されると、意図しないリクエストが内部サーバーに送信される可能性があります。

このSSRF脆弱性は、攻撃者がNimesa Backup and Recoveryサーバーを介して内部ネットワーク上の他のサーバーにアクセスすることを可能にします。攻撃者は、内部サービスをスキャンしたり、機密情報（データベース、APIキーなど）を盗んだり、さらには内部サーバー上でコードを実行したりする可能性があります。攻撃の成功は、Nimesa Backup and Recoveryサーバーが内部ネットワークにアクセスできるかどうか、および内部サーバーが脆弱であるかどうかに依存します。この脆弱性は、内部ネットワークへの不正アクセスを可能にするため、広範囲に影響を及ぼす可能性があります。

Organizations utilizing Nimesa Backup and Recovery for data protection, particularly those with sensitive internal resources accessible through the backup server, are at risk. Shared hosting environments where multiple users share the same Nimesa Backup and Recovery instance are also particularly vulnerable.

1. 2025-07-07Disclosure

   disclosure

1. 予約済み2025-07-02
2. 公開日2025-07-07
3. EPSS 更新日2026-03-23

まず、Nimesa Backup and Recoveryをバージョン3.0.2025062305にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合は、Nimesa Backup and Recoveryサーバーのネットワークアクセスを制限し、内部サーバーへのアクセスを許可しないようにファイアウォールルールを設定してください。また、WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御するルールを適用することも有効です。Nimesa Backup and Recoveryの設定で、許可されたリクエスト先を厳密に制限することも推奨されます。アップデート後、Nimesa Backup and Recoveryのログを監視し、不審なリクエストがないか確認してください。