CVE-2025-64487は、Outlineのドキュメント管理システムにおける特権昇格の脆弱性です。この脆弱性は、ユーザーとグループメンバーシップ管理エンドポイント間の権限チェックの不整合が原因で発生します。バージョン1.0.1以前のOutlineに影響を与え、攻撃者は権限を昇格させ、機密情報への不正アクセスやシステム制御の奪取を試みる可能性があります。バージョン1.1.0でこの脆弱性は修正されています。
この脆弱性を悪用されると、攻撃者は正規のユーザーアカウントを装い、権限を昇格させることが可能になります。これにより、機密性の高いドキュメントへの不正アクセス、データの改ざん、さらにはOutlineシステム全体の制御を奪取されるリスクがあります。攻撃者は、システム内の他のユーザーアカウントを乗っ取ったり、ネットワーク内の他のリソースにアクセスするためにこの脆弱性を利用する可能性があります。この脆弱性の悪用は、組織の機密情報漏洩、業務の中断、および評判の低下につながる可能性があります。
この脆弱性は、CISA KEVカタログに登録されている可能性があります。パブリックに利用可能なPoCは確認されていませんが、特権昇格の脆弱性であるため、悪用される可能性は否定できません。NVDの公開日は2026年2月11日です。
Organizations utilizing Outline for collaborative documentation, particularly those with shared user accounts or complex group structures, are at risk. Environments with legacy configurations or those lacking robust access control policies are especially vulnerable.
disclosure
エクスプロイト状況
EPSS
0.01% (2% パーセンタイル)
CISA SSVC
この脆弱性への最も効果的な対策は、Outlineをバージョン1.1.0以降にアップデートすることです。アップデートがすぐに利用できない場合は、ユーザーとグループの権限設定を厳格に管理し、最小限の権限の原則を適用してください。また、Outlineのアクセスログを定期的に監視し、不審なアクティビティを検出することも重要です。WAFやプロキシサーバーを使用して、Outlineへの不正なアクセスをブロックすることも有効な対策となります。
Outline を 1.1.0 以降のバージョンにアップデートしてください。このバージョンはドキュメント管理における権限昇格の脆弱性を修正しています。アップデートにより、ユーザーとグループの管理エンドポイント間の認証チェックが一貫性を保つようになります。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-64487は、Outlineのバージョン1.0.1以前におけるユーザーとグループメンバーシップ管理エンドポイントの権限チェックの不整合により発生する特権昇格の脆弱性です。
Outlineのバージョンが1.0.1以前の場合は、この脆弱性の影響を受けます。バージョン1.1.0以降にアップデートすることで、この脆弱性を修正できます。
Outlineをバージョン1.1.0以降にアップデートしてください。アップデートがすぐに利用できない場合は、ユーザーとグループの権限設定を厳格に管理し、アクセスログを監視してください。
現時点では、CVE-2025-64487の悪用事例は確認されていませんが、特権昇格の脆弱性であるため、悪用される可能性は否定できません。
Outlineの公式アドバイザリは、Outlineのウェブサイトまたはセキュリティブログで確認できます。
CVSS ベクトル