プラットフォーム
other
コンポーネント
stirling-pdf
修正版
1.1.1
Stirling-PDFは、PDFファイルを操作するローカルホストのWebアプリケーションです。バージョン1.1.0以前のStirling-PDFにおいて、HTMLからPDFへの変換API (/api/v1/convert/html/pdf)の処理において、サニタイザーのセキュリティ対策が回避され、SSRF(サーバーサイドリクエストフォワード)が発生する脆弱性が確認されています。この脆弱性はバージョン1.1.0で修正されており、影響を受けるバージョンは1.1.0以前です。
このSSRF脆弱性を悪用されると、攻撃者はStirling-PDFサーバーを経由して、内部ネットワーク上のリソースや外部のWebサイトに不正なリクエストを送信できます。これにより、機密情報の漏洩、内部システムの乗っ取り、さらにはDoS攻撃といった深刻な被害が発生する可能性があります。攻撃者は、Stirling-PDFサーバーをプロキシとして利用し、本来アクセスできない内部リソースにアクセスしたり、外部のWebサービスを攻撃したりすることが可能です。この脆弱性は、他のSSRF脆弱性と同様に、内部ネットワークの可視化や、認証情報の漏洩といったリスクを伴います。
この脆弱性は2025年8月11日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、SSRF脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISA KEVへの登録状況は不明です。公開されているPoCは確認されていません。
Organizations utilizing Stirling-PDF for internal PDF generation and processing are at risk, particularly those with sensitive internal resources accessible via HTTP/HTTPS. Environments where Stirling-PDF is exposed to untrusted networks or user-supplied HTML content are at higher risk.
disclosure
エクスプロイト状況
EPSS
0.06% (20% パーセンタイル)
CISA SSVC
この脆弱性への対応として、まずStirling-PDFをバージョン1.1.0にアップデートすることを推奨します。アップデートが困難な場合は、Webアプリケーションファイアウォール(WAF)やリバースプロキシを設定し、不正なリクエストをフィルタリングすることで、攻撃を軽減できます。また、HTMLからPDFへの変換API (/api/v1/convert/html/pdf)の使用を一時的に停止することも有効な対策となります。アップデート後、バージョン1.1.0が正しく適用されていることを確認し、脆弱性が解消されていることを検証してください。
Stirling-PDF をバージョン 1.1.0 以降にアップデートしてください。このバージョンには、/api/v1/convert/html/pdf エンドポイントにおける SSRF 脆弱性に対する修正が含まれています。アップデートすることで、外部の攻撃者がサーバー経由で不正なリクエストを実行するリスクを軽減できます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-55150は、Stirling-PDFのバージョン1.1.0以前におけるHTMLからPDFへの変換APIの処理におけるSSRF脆弱性です。攻撃者はこの脆弱性を悪用して、Stirling-PDFサーバーを経由して内部リソースにアクセスできます。
Stirling-PDFのバージョン1.1.0以前を使用している場合は、影響を受ける可能性があります。内部ネットワークへのアクセスを許可している環境では、特に注意が必要です。
Stirling-PDFをバージョン1.1.0にアップデートすることを推奨します。アップデートが困難な場合は、WAFなどのセキュリティ対策を講じることで、リスクを軽減できます。
現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、SSRF脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。
Stirling-PDFの公式アドバイザリは、Stirling-PDFの公式サイトまたは関連するセキュリティ情報サイトで確認できます。
CVSS ベクトル