HIGHCVE-2025-59088CVSS 8.6

Python-kdcproxy: realm制御されたDNS SRV経由の認証されていないSSRF

プラットフォーム

python

コンポーネント

kdcproxy

修正版

1.1.0

1.0.1

0.3.3

143.0.1

823393.0.1

792.0.1

5.0.1

582.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-59088は、kdcproxyにおけるサーバーサイドリクエストフォージリ（SSRF）脆弱性です。この脆弱性を悪用されると、攻撃者は内部ネットワークの情報を収集したり、不正なアクセスを試みたりすることが可能になります。影響を受けるバージョンは0.0から1.1.0までです。バージョン1.1.0へのアップデートでこの問題は解決されています。

影響と攻撃シナリオ

このSSRF脆弱性は、kdcproxyがレルムのサーバーアドレスが設定されていない場合に、DNS SRVレコードをクエリしてしまうという問題に基づいています。攻撃者は、自身が作成したSRVレコードをDNSゾーンに設定し、それらのレコードが任意のポートやホスト名（ループバックアドレスや内部IPアドレスを含む）を指すようにすることで、この脆弱性を悪用できます。これにより、内部ネットワークのトポロジーやファイアウォールルールを調査したり、ポートスキャンを実行したり、データを外部に持ち出したりすることが可能になります。この脆弱性は、内部ネットワークへの不正アクセスや情報漏洩のリスクを高めます。

悪用の状況

このCVEは2025年11月12日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、SSRF脆弱性は一般的に悪用されやすく、内部ネットワークへの侵入経路として利用される可能性があります。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Organizations deploying kdcproxy in environments with exposed internal services or where DNS records are not tightly controlled are at increased risk. Shared hosting environments where multiple users share DNS infrastructure are particularly vulnerable, as an attacker could potentially manipulate SRV records to affect other tenants.

検出手順翻訳中…

• linux / server: Monitor kdcproxy logs for unusual DNS queries, particularly those involving SRV records. Use journalctl -u kdcproxy to filter for DNS-related entries.

journalctl -u kdcproxy | grep 'DNS SRV record'

• generic web: Use curl to test for SSRF by attempting to access internal services through kdcproxy.

curl http://<kdcproxy_ip>/realm/internal_service

• generic web: Examine access logs for requests to unusual or unexpected internal endpoints.

攻撃タイムライン

2025-11-12Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.08% (23% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントkdcproxy

ベンダーlatchset

影響範囲修正版

0 – 1.0.99991.1.0

0:1.0.0-19.el10_1 – 1.0.0-19.el10_11.0.1

0:1.0.0-19.el10_0 – 1.0.0-19.el10_01.0.1

0:0.3.2-3.el7_9.3 – 0.3.2-3.el7_9.30.3.3

8100020251103113748.143e9e98 – 8100020251103113748.143e9e98143.0.1

8100020251028161822.823393f5 – 8100020251028161822.823393f5823393.0.1

8020020251106022345.792f4060 – 8020020251106022345.792f4060792.0.1

8040020251103205102.5b01ab7e – 8040020251103205102.5b01ab7e

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-09-08
公開日2025-11-12
更新日2025-12-19
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、まずkdcproxyをバージョン1.1.0にアップデートすることを推奨します。アップデートが困難な場合は、レルムのサーバーアドレスを適切に設定することで、DNS SRVレコードのクエリを無効化できます。また、WAFやプロキシサーバーを使用して、kdcproxyへの不正なリクエストをブロックすることも有効です。SigmaルールやYARAパターンを用いて、この脆弱性を悪用した攻撃の兆候を検知することも重要です。

修正方法

kdcproxyをバージョン1.1.0以降にアップデートしてください。あるいは、不要なDNSクエリを避けるために、設定で "use_dns" オプションを明示的にfalseに構成してください。これにより、脆弱な機能が無効になり、SSRF脆弱性の悪用を防ぐことができます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-59088 — SSRF in kdcproxyとは何ですか？

CVE-2025-59088は、kdcproxyにおいて、攻撃者が内部ネットワークの情報を調査したり、不正なアクセスを試みたりできるSSRF脆弱性です。

CVE-2025-59088 in kdcproxyの影響はありますか？

kdcproxyのバージョンが0.0から1.1.0までの環境は影響を受けます。内部ネットワークのトポロジー調査やデータ漏洩のリスクがあります。

CVE-2025-59088 in kdcproxyを修正するにはどうすればよいですか？

kdcproxyをバージョン1.1.0にアップデートすることを推奨します。アップデートが難しい場合は、レルムのサーバーアドレスを適切に設定してください。

CVE-2025-59088は積極的に悪用されていますか？

現時点では、CVE-2025-59088を悪用した具体的な攻撃事例は確認されていません。

CVE-2025-59088に関するkdcproxyの公式アドバイザリはどこで入手できますか？

kdcproxyの公式アドバイザリは、プロジェクトのウェブサイトまたは関連するセキュリティ情報サイトで確認できます。