HIGHCVE-2025-64178CVSS 7.5

Jellysweep は github.com/jon4hz/jellysweep の画像キャッシュ API エンドポイントで制御されていないデータを利用しています

Q: CVE-2025-64178 — 制御されていないデータの脆弱性とは、github.com/jon4hz/jellysweepで何ですか？

CVE-2025-64178は、github.com/jon4hz/jellysweepの画像キャッシュAPIエンドポイントにおいて、制御されていないデータが使用される脆弱性です。攻撃者はこの脆弱性を悪用して、機密情報を取得できる可能性があります。

Q: CVE-2025-64178でgithub.com/jon4hz/jellysweepを使用しています。影響を受けますか？

github.com/jon4hz/jellysweepのバージョンが0.12.0以前の場合は、この脆弱性に影響を受けます。バージョン0.13.0にアップデートしてください。

Q: CVE-2025-64178でgithub.com/jon4hz/jellysweepを修正するにはどうすればよいですか？

github.com/jon4hz/jellysweepをバージョン0.13.0にアップデートすることで、この脆弱性を修正できます。アップデートが困難な場合は、WAFルールやプロキシ設定でアクセスを制限してください。

Q: CVE-2025-64178は積極的に悪用されていますか？

現時点では、公開されている悪用の事例は確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。

Q: CVE-2025-64178に関するgithub.com/jon4hz/jellysweepの公式アドバイザリはどこで入手できますか？

github.com/jon4hz/jellysweepの公式アドバイザリは、githubのリポジトリのリリースノートで確認できます。

プラットフォーム

コンポーネント

github.com/jon4hz/jellysweep

修正版

0.13.1

0.13.0

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-64178は、github.com/jon4hz/jellysweepにおける画像キャッシュAPIエンドポイントの脆弱性です。この脆弱性は、制御されていないデータが使用されることで、攻撃者が機密情報を取得する可能性があります。影響を受けるバージョンは0.12.0以前であり、0.13.0へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者は画像キャッシュAPIエンドポイントを通じて、サーバー上の機密情報にアクセスできる可能性があります。具体的には、キャッシュされた画像データや関連するメタデータが漏洩する可能性があります。攻撃者は、この情報を利用して、さらなる攻撃を仕掛けたり、機密情報を盗み出したりする可能性があります。この脆弱性は、特に画像処理やキャッシュ機能を多用する環境において、深刻な影響を及ぼす可能性があります。

悪用の状況

このCVEは2025年11月17日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISA KEVへの登録状況は不明です。攻撃者による悪用が確認された場合は、速やかに対応が必要です。

リスク対象者翻訳中…

Organizations that rely on jellysweep for image processing or caching are at risk. This includes developers and system administrators who manage jellysweep deployments. Environments where jellysweep is exposed to untrusted external networks are particularly vulnerable.

検出手順翻訳中…

• go / server: Monitor application logs for unusual API requests related to image caching. Look for requests with excessively large payloads or unexpected data types.

journalctl -u jellysweep -f | grep "image cache API"

• generic web: Use curl to test the image cache API endpoint with various payloads, including very large files or malformed data, to observe any abnormal behavior or resource consumption.

curl -F "image=@large_file.jpg" http://<jellysweep_server>/image_cache_api

攻撃タイムライン

2025-11-17Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.08% (23% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントgithub.com/jon4hz/jellysweep

ベンダーosv

影響範囲修正版

< 0.13.0 – < 0.13.00.13.1

—0.13.0

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-10-28
公開日2025-11-17
更新日2026-03-03
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、github.com/jon4hz/jellysweepをバージョン0.13.0にアップデートすることを推奨します。アップデートが困難な場合は、画像キャッシュAPIエンドポイントへのアクセスを制限するWAFルールやプロキシ設定を検討してください。また、入力データの検証を強化し、不正なデータがキャッシュされるのを防ぐための対策を講じることが重要です。アップデート後、正常に機能することを確認してください。

修正方法

Jellysweep をバージョン 0.13.0 以降にアップデートしてください。このバージョンでは、画像のダウンロードに使用される URL を適切に検証することで SSRF の脆弱性を修正しています。アップデートにより、認証されたユーザーがサーバーから任意のコンテンツをダウンロードすることを防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-64178 — 制御されていないデータの脆弱性とは、github.com/jon4hz/jellysweepで何ですか？