HIGHCVE-2025-64511CVSS 7.4

MaxKB にサンドボックス内で SSRF の脆弱性あり

Q: CVE-2025-64511 — SSRF in MaxKB AI Assistantとは何ですか？

CVE-2025-64511は、MaxKB AI Assistantのバージョン2.3.0以前に存在するSSRF脆弱性で、攻撃者が内部ネットワークサービスにアクセスできる可能性があります。

Q: CVE-2025-64511 in MaxKB AI Assistantに影響を受けますか？

MaxKB AI Assistantのバージョンが2.3.0以前の場合は、影響を受けます。バージョン2.3.1へのアップデートが必要です。

Q: CVE-2025-64511 in MaxKB AI Assistantを修正するにはどうすればよいですか？

MaxKB AI Assistantをバージョン2.3.1にアップデートしてください。アップデートが困難な場合は、ファイアウォールルールやプロキシ設定で内部ネットワークへのアクセスを制限してください。

Q: CVE-2025-64511は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、SSRF脆弱性であるため、悪用が懸念されます。

Q: CVE-2025-64511に関するMaxKB AI Assistantの公式アドバイザリはどこで入手できますか？

MaxKB AI Assistantの公式ウェブサイトまたはセキュリティアドバイザリページで確認してください。

プラットフォーム

python

コンポーネント

maxkb

修正版

2.3.2

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-64511は、MaxKB AI Assistantのバージョン2.3.0以前に発見されたSSRF（Server-Side Request Forgery）脆弱性です。この脆弱性を悪用されると、攻撃者はサンドボックス環境下でPythonコードを通じて内部ネットワークサービスにアクセスできる可能性があります。MaxKB AI Assistantのバージョン2.3.1でこの問題が修正されています。迅速なアップデートを推奨します。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者がMaxKB AI Assistantを通じて内部ネットワークに不正にアクセスすることを可能にします。具体的には、データベースなどの機密情報を含むサービスにアクセスし、情報を窃取したり、改ざんしたりする可能性があります。サンドボックス環境下での実行とはいえ、内部ネットワークへのアクセスを許可することで、攻撃者は機密情報の漏洩や、さらなる攻撃への足がかりを得るリスクがあります。この脆弱性の悪用により、組織全体のセキュリティが脅かされる可能性があります。

悪用の状況

この脆弱性は、2025年11月13日に公開されました。現時点では、KEV（Known Exploited Vulnerabilities）カタログには登録されていません。公的なPoC（Proof of Concept）は確認されていませんが、SSRF脆弱性であるため、攻撃者による悪用が懸念されます。NVD（National Vulnerability Database）およびCISA（Cybersecurity and Infrastructure Security Agency）の情報を常に監視し、最新の情報を入手するようにしてください。

リスク対象者翻訳中…

Organizations utilizing MaxKB for AI-powered enterprise applications are at risk, particularly those with internal databases or services accessible via HTTP or other protocols. Environments with weak network segmentation or limited WAF protection are especially vulnerable. Users relying on MaxKB for sensitive data processing should prioritize patching.

検出手順翻訳中…

• python / server:

import requests
import urllib3

http = urllib3.PoolManager()

def check_ssrf(url):
    try:
        r = http.request('GET', url, timeout=3)
        if r.status == 200:
            print(f"[+] SSRF possible: {url}")
        else:
            print(f"[-] SSRF not detected: {url}")
    except Exception as e:
        print(f"[-] Error checking {url}: {e}")

# Example usage (replace with internal URLs)
check_ssrf('http://localhost:5432')
check_ssrf('http://127.0.0.1:8080')

• generic web:

curl -I http://<maxkb_server>/tool/module?url=http://localhost:5432 | grep HTTP/1.1

攻撃タイムライン

2025-11-13Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.08% (23% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmaxkb

ベンダー1Panel-dev

影響範囲修正版

< 2.3.1 – < 2.3.12.3.2

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-11-05
公開日2025-11-13
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応として、まずMaxKB AI Assistantをバージョン2.3.1にアップデートすることを強く推奨します。アップデートが困難な場合は、Pythonコードの実行を制限するファイアウォールルールやプロキシ設定を導入し、内部ネットワークへのアクセスを遮断するなどの一時的な回避策を検討してください。また、WAF（Web Application Firewall）のルールを調整し、SSRF攻撃を検知・防御する仕組みを構築することも有効です。アップデート後、内部ネットワークへのアクセスが正常に制限されていることを確認してください。

修正方法

MaxKB を 2.3.1 以降のバージョンにアップデートしてください。このバージョンは、ネットワークの内部サービスへのアクセスを可能にする SSRF の脆弱性を修正します。アップデートにより、データベースなどの内部リソースへの不正アクセスリスクが軽減されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-64511 — SSRF in MaxKB AI Assistantとは何ですか？