プラットフォーム
other
コンポーネント
manager
修正版
25.11.2
Manager-io Managerのバージョン25.11.1.3085以前に、深刻なSSRF脆弱性が存在します。この脆弱性は、Time-of-Check Time-of-Use (TOCTOU) 条件を利用し、攻撃者がネットワーク隔離を回避し、内部サービス、クラウドメタデータエンドポイント、保護されたネットワークセグメントにアクセスすることを可能にします。Desktop版では認証不要、Server版では標準認証のみで攻撃が可能です。バージョン25.11.1.3086でこの問題は修正されています。
このSSRF脆弱性は、攻撃者にとって非常に危険です。認証なし(Desktop版)または標準認証(Server版)で内部ネットワークへのアクセスが可能になるため、機密情報の漏洩、内部システムの乗っ取り、さらにはネットワーク全体の侵害につながる可能性があります。攻撃者は、クラウドメタデータエンドポイントにアクセスすることで、クラウド環境の認証情報を取得し、より広範な攻撃を仕掛けることも可能です。この脆弱性の悪用は、組織の機密データ、システム、および評判に深刻な損害をもたらす可能性があります。
この脆弱性は、Manager-io Managerの設計上の欠陥に起因しており、TOCTOU条件の悪用を可能にしています。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、SSRF脆弱性は一般的に悪用されやすく、攻撃者による探索が進む可能性があります。CISA KEVへの登録状況は不明です。公開されているPoCは確認されていません。
Organizations using Manager-io Manager, particularly those with sensitive financial data, are at risk. Shared hosting environments where multiple users share the same Manager-io instance are especially vulnerable, as an attacker could potentially exploit the SSRF to access data belonging to other users. Legacy configurations that haven't been updated to the latest version are also at increased risk.
• linux / server: Monitor journalctl for unusual outbound requests originating from the Manager-io process. Use ss -tulnp | grep manager to identify connections to internal services.
journalctl -u manager -f | grep -i 'internal_service'• generic web: Examine access and error logs for requests to internal network resources. Use curl -v <internal_resource> to test access from the Manager-io server.
curl -v http://169.254.169.254/latest/meta-data/ # Example: Cloud metadata endpointdisclosure
エクスプロイト状況
EPSS
0.13% (32% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずManager-io Managerをバージョン25.11.1.3086以上にアップデートすることを強く推奨します。アップデートが直ちに実行できない場合は、ネットワークファイアウォールやプロキシサーバーを使用して、Manager-io Managerから内部ネットワークへのアクセスを制限することを検討してください。また、Manager-io ManagerのDNS設定を厳密に検証し、不正なDNSリクエストをブロックするルールを実装することも有効です。アップデート後、バージョン25.11.1.3086に正常にアップグレードされていることを確認してください。
Manager Desktop または Server をバージョン 25.11.1.3086 以降にアップデートしてください。このアップデートは、内部ネットワークリソースへの不正アクセスを許可する SSRF (Server-Side Request Forgery) の脆弱性を修正します。アップデートは DNS 検証における TOCTOU (Time-of-Check Time-of-Use) のリスクを軽減します。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-64180は、Manager-io Managerのバージョン25.11.1.3085以前におけるTOCTOU条件を利用したSSRF脆弱性です。攻撃者は認証なしまたは標準認証で内部ネットワークリソースにアクセスできます。
はい、Manager-io Managerのバージョン25.11.1.3085以前を使用している場合、内部ネットワークへの不正アクセス、機密情報の漏洩、システム乗っ取りのリスクがあります。
Manager-io Managerをバージョン25.11.1.3086以上にアップデートしてください。アップデートが難しい場合は、ネットワークファイアウォールで内部ネットワークへのアクセスを制限することを検討してください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、SSRF脆弱性は一般的に悪用されやすいので注意が必要です。
Manager-ioの公式アドバイザリは、Manager-ioのウェブサイトまたはセキュリティ関連のニュースサイトで確認してください。