HIGHCVE-2025-53641CVSS 8.2

Postizはミドルウェアでヘッダーの変更を許可し、結果としてSSRFを引き起こす

Q: CVE-2025-53641 — SSRF in Postiz AI Social Media Schedulerとは何ですか？

CVE-2025-53641は、Postizのバージョン1.45.1から1.62.3までの範囲で発生するSSRF脆弱性です。攻撃者はHTTPヘッダーを注入し、サーバーから不正なリクエストを送信できます。

Q: CVE-2025-53641 in Postiz AI Social Media Schedulerの影響はありますか？

はい、Postizのバージョン1.45.1から1.62.3を使用している場合は、この脆弱性により、攻撃者がサーバーを介して不正なリクエストを送信され、機密情報が漏洩する可能性があります。

Q: CVE-2025-53641 in Postiz AI Social Media Schedulerを修正するにはどうすればよいですか？

Postizをバージョン1.62.3にアップデートすることで、この脆弱性を修正できます。アップデートが難しい場合は、WAFの導入やネットワーク設定の制限を検討してください。

Q: CVE-2025-53641は積極的に悪用されていますか？

現時点で公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用されやすい脆弱性であるため、攻撃者による悪用が懸念されます。

Q: CVE-2025-53641に関するPostizの公式アドバイザリはどこで入手できますか？

Postizの公式アドバイザリは、Postizのウェブサイトまたはセキュリティブログで確認できます。

プラットフォーム

nodejs

コンポーネント

postiz-app

修正版

1.45.2

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

PostizはAIを活用したソーシャルメディアのスケジュール管理ツールです。バージョン1.45.1から1.62.3までの範囲で、フロントエンドアプリケーションにおいてHTTPヘッダーの注入が可能となり、サーバーサイドリクエストフォージェリ（SSRF）の脆弱性が存在します。この脆弱性を悪用されると、攻撃者はPostizサーバーから不正な外部リクエストを送信できるようになります。バージョン1.62.3でこの問題は修正されています。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者がPostizサーバーを介して、本来アクセスできない内部リソースや外部サービスにアクセスすることを可能にします。攻撃者は、機密情報の取得、内部ネットワークへの侵入、さらにはDoS攻撃の実行といった悪意のある活動を行う可能性があります。例えば、内部の管理コンソールやデータベースにアクセスし、機密情報を盗み出すことが考えられます。また、外部のAPIを悪用して、不正な操作を実行したり、サービスを停止させたりすることも可能です。この脆弱性は、Postizサーバーのセキュリティを著しく損なう可能性があります。

悪用の状況

この脆弱性は、CISAのKEVカタログに登録されている可能性は低いですが、SSRFは一般的に悪用されやすい脆弱性であり、注意が必要です。現時点で公開されているPoCは確認されていませんが、SSRF脆弱性は過去に多くの事例で悪用されているため、攻撃者による悪用が懸念されます。NVDおよびCISAの公開日は2025年7月11日です。

リスク対象者翻訳中…

Organizations using Postiz for social media scheduling, particularly those with sensitive internal data or systems accessible via outbound HTTP requests, are at risk. Shared hosting environments where Postiz is installed alongside other applications may also be vulnerable, as a compromise of one application could potentially lead to exploitation of this SSRF vulnerability.

検出手順翻訳中…

• nodejs: Monitor Postiz application logs for unusual outbound HTTP requests, particularly those originating from internal IP addresses or containing unexpected headers.

grep -i 'internal.ip.address' /var/log/postiz/access.log

• generic web: Use curl to test for SSRF by attempting to access internal resources through the Postiz application.

curl -H "X-Custom-Header: http://169.254.169.254/latest/meta-data/" http://<postiz_server_ip>

• generic web: Examine Postiz's access and error logs for any signs of header injection attempts or unusual outbound requests.

攻撃タイムライン

2025-07-11Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.05% (14% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントpostiz-app

ベンダーgitroomhq

影響範囲修正版

>= 1.45.1, < 1.62.3 – >= 1.45.1, < 1.62.31.45.2

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-07-07
公開日2025-07-11
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応として、Postizをバージョン1.62.3にアップデートすることを強く推奨します。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、不正なHTTPヘッダーの注入を検知・遮断するルールを設定することを検討してください。また、Postizがアクセスできる外部リソースを制限するネットワーク設定を行うことも有効です。Postizのログを監視し、異常なリクエストパターンを検出することも重要です。アップデート後、Postizのバージョンが1.62.3であることを確認してください。

修正方法

Postizアプリケーションをバージョン1.62.3以降にアップデートしてください。このバージョンには、HTTPヘッダーの任意注入を可能にするSSRF脆弱性に対する修正が含まれています。アップデートすることで、攻撃者がサーバーから不正なリクエストを開始するリスクを軽減できます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-53641 — SSRF in Postiz AI Social Media Schedulerとは何ですか？