HIGHCVE-2025-55161CVSS 8.6

Stirling-PDF SSRF脆弱性 /api/v1/convert/markdown/pdf において

Q: CVE-2025-55161 — SSRF in Stirling-PDFとは何ですか？

CVE-2025-55161は、Stirling-PDFの/api/v1/convert/markdown/pdfエンドポイントにおけるSSRF脆弱性です。攻撃者はこの脆弱性を悪用して、内部リソースに不正にアクセスする可能性があります。

Q: CVE-2025-55161 in Stirling-PDFの影響はありますか？

Stirling-PDFのバージョンが1.1.0以前を使用している場合、この脆弱性の影響を受けます。内部ネットワークへのアクセス権限を持つ攻撃者によって、機密情報が漏洩する可能性があります。

Q: CVE-2025-55161 in Stirling-PDFを修正するにはどうすればよいですか？

Stirling-PDFをバージョン1.1.0にアップデートすることで、この脆弱性を修正できます。アップデートが難しい場合は、WAFなどの対策を講じることを推奨します。

Q: CVE-2025-55161に関するStirling-PDFの公式アドバイザリはどこで入手できますか？

Stirling-PDFの公式アドバイザリは、Stirling-PDFのWebサイトまたは関連するセキュリティ情報サイトで確認できます。

プラットフォーム

other

コンポーネント

stirling-pdf

修正版

1.1.1

AI Confidence: highNVDEPSS 4.8%レビュー済み: 2026年5月

NVDで見る

保存

Stirling-PDFは、PDFファイルを操作するローカルホストのWebアプリケーションです。バージョン1.1.0以前では、MarkdownからPDFへの変換を行う/api/v1/convert/markdown/pdfエンドポイントにおいて、セキュリティサニタイザーをバイパスされることでSSRF脆弱性が存在します。この脆弱性はバージョン1.1.0で修正されており、影響を受けるバージョンは1.1.0以前です。

影響と攻撃シナリオ

このSSRF脆弱性を悪用されると、攻撃者はStirling-PDFが実行されているサーバーから内部ネットワーク上のリソースに不正にアクセスできるようになります。例えば、内部データベースや管理インターフェースへのアクセス、機密情報の窃取などが考えられます。攻撃者は、Stirling-PDFサーバーを足がかりとして、さらに他のシステムへの攻撃を試みる可能性があります。この脆弱性は、内部ネットワークのセキュリティを脅かす重大なリスクとなります。

悪用の状況

この脆弱性は2025年8月11日に公開されました。現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は悪用が容易であるため、早期の悪用が懸念されます。CISA KEVへの登録状況は不明です。NVDデータベースも参照し、最新の情報を確認することをお勧めします。

リスク対象者翻訳中…

Organizations deploying Stirling-PDF for internal document processing, particularly those with sensitive internal resources accessible from the server, are at risk. Shared hosting environments where Stirling-PDF is installed alongside other applications should also be considered vulnerable, as a compromised application could potentially exploit this SSRF vulnerability.

検出手順翻訳中…

• generic web: Use curl to test the /api/v1/convert/markdown/pdf endpoint with a URL pointing to an internal resource (e.g., http://localhost:8080). A successful response indicates potential SSRF.

curl -X POST -d '{"markdown": "![alt text](http://localhost:8080)"}' http://<stirling-pdf-server>/api/v1/convert/markdown/pdf

攻撃タイムライン

2025-08-11Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

4.79% (89% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントstirling-pdf

ベンダーStirling-Tools

影響範囲修正版

< 1.1.0 – < 1.1.01.1.1

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-08-07
公開日2025-08-11
更新日2025-08-12
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、まずStirling-PDFをバージョン1.1.0にアップデートすることを推奨します。アップデートが困難な場合は、WAF（Web Application Firewall）やリバースプロキシを設定し、SSRF攻撃を検知・防御するルールを実装してください。また、MarkdownからPDFへの変換処理を一時的に停止するなどの回避策も有効です。アップデート後、/api/v1/convert/markdown/pdfエンドポイントへのリクエストを監視し、不正なアクセスがないか確認してください。

修正方法

Stirling-PDFをバージョン1.1.0以降にアップデートしてください。このバージョンには、/api/v1/convert/markdown/pdfエンドポイントにおけるSSRF脆弱性に対する修正が含まれています。アップデートすることで、外部の攻撃者がアプリケーション経由で内部リソースにアクセスするリスクを軽減できます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-55161 — SSRF in Stirling-PDFとは何ですか？