HIGHCVE-2025-59344CVSS 7.7

AliasVault は Favicon 抽出を介したサーバーサイドリクエスト偽造 (SSRF) の脆弱性があります

Q: CVE-2025-59344 — SSRF in AliasVault APIとは何ですか？

CVE-2025-59344は、AliasVault APIのfavicon抽出機能におけるサーバーサイドリクエストフォージェリ（SSRF）の脆弱性です。攻撃者はこの脆弱性を悪用して、内部ネットワークリソースにアクセスする可能性があります。

Q: CVE-2025-59344 in AliasVault APIの影響はありますか？

AliasVault APIのバージョン0.23.0以下を使用している場合は影響を受けます。攻撃者は内部リソースにアクセスし、機密情報を盗む可能性があります。

Q: CVE-2025-59344 in AliasVault APIを修正するにはどうすればよいですか？

AliasVault APIのバージョンを0.23.1以降にアップデートしてください。アップデートが困難な場合は、ファイアウォール設定の強化やWAFの導入を検討してください。

Q: CVE-2025-59344は積極的に悪用されていますか？

現時点では公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であり、今後、攻撃者による悪用が広がる可能性があります。

Q: CVE-2025-59344に関するAliasVaultの公式アドバイザリはどこで入手できますか？

AliasVaultの公式アドバイザリは、AliasVaultのセキュリティページで確認できます。詳細はAliasVaultのウェブサイトを参照してください。

プラットフォーム

other

コンポーネント

aliasvault

修正版

0.23.2

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

AliasVault APIのバージョン0.23.0以前には、favicon抽出機能においてサーバーサイドリクエストフォージェリ（SSRF）の脆弱性が存在します。この脆弱性を悪用されると、認証された低権限のユーザーが、AliasVaultのバックエンドにリクエストを強制的に送信し、内部リソースへのアクセスを試みることが可能です。影響を受けるバージョンは0.23.0以下であり、0.23.1に修正されています。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者がAliasVaultのバックエンドを介して内部ネットワークリソースにアクセスすることを可能にします。攻撃者は、内部IPアドレスやポートにリクエストを送信し、機密情報（データベースの認証情報、APIキーなど）を盗み出す可能性があります。また、内部サービスに対するDoS攻撃を実行したり、他の内部システムへの侵入の足がかりとして利用される可能性も考えられます。この脆弱性は、AliasVaultのセキュリティ境界をバイパスし、内部ネットワークへのアクセスを許可するものであり、深刻な影響をもたらす可能性があります。

悪用の状況

この脆弱性は、AliasVault APIのfavicon抽出機能の設計上の欠陥に起因しています。攻撃者は、ユーザーが提供するURLを悪用し、バックエンドに意図しないリクエストを送信することができます。現時点では、この脆弱性に対する公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であり、今後、攻撃者による悪用が広がる可能性があります。CISA KEVへの登録状況は確認されていません。

リスク対象者翻訳中…

Organizations utilizing AliasVault's API for favicon extraction, particularly those with internal services accessible from the AliasVault server, are at risk. Shared hosting environments where AliasVault instances share network resources are also particularly vulnerable.

検出手順翻訳中…

• linux / server: Monitor AliasVault API logs for outbound requests to internal IP addresses (127.0.0.1, 192.168.x.x, 10.x.x.x). Use journalctl -u aliasvault to filter for relevant log entries.

journalctl -u aliasvault | grep -i 'internal ip'

• generic web: Use curl to test the favicon extraction endpoint with a URL pointing to an internal resource. Observe the response code and any error messages.

curl -v 'https://<aliasvault_url>/api/favicon?url=http://127.0.0.1'

攻撃タイムライン

2025-09-19Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.04% (12% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントaliasvault

ベンダーaliasvault

影響範囲修正版

< 0.23.1 – < 0.23.10.23.2

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-09-12
公開日2025-09-19
EPSS 更新日2026-03-23

緩和策と回避策

AliasVault APIのバージョンを0.23.1以降にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートが困難な場合は、AliasVaultのファイアウォール設定を強化し、内部ネットワークへの不要なアクセスを制限することを検討してください。また、WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御するルールを設定することも有効です。AliasVaultのAPIエンドポイントへのアクセスを厳格に制限し、認証されたユーザーのみがアクセスできるように設定することも重要です。

修正方法

AliasVault をバージョン 0.23.1 以降にアップデートしてください。このバージョンには、favicon 抽出における SSRF 脆弱性に対する修正が含まれています。アップデートすることで、悪意のあるユーザーが内部ホストにリクエストを実行するリスクを軽減できます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-59344 — SSRF in AliasVault APIとは何ですか？