CRITICALCVE-2025-65037CVSS 10

Azure Container Apps リモートコード実行の脆弱性

プラットフォーム

azure

コンポーネント

azure-container-apps

修正版

2.5.4

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-65037 は、Azure Container Apps におけるコードインジェクション（コード生成の不適切な制御）の脆弱性です。この脆弱性を悪用されると、認証されていない攻撃者がネットワーク経由でコードを実行できるようになります。影響を受けるバージョンは 1.0.0 から始まり、2.5.4 へのアップデートでこの問題は修正されています。

影響と攻撃シナリオ

この RCE 脆弱性は、攻撃者にとって非常に深刻な脅威となります。攻撃者は、Azure Container Apps 環境内で任意のコードを実行できるため、コンテナ内の機密データへのアクセス、コンテナの制御、さらにはネットワーク内の他のリソースへの横展開が可能になります。攻撃者は、コンテナアプリケーションのロジックを改ざんしたり、バックドアを設置したり、機密情報を盗み出したりする可能性があります。この脆弱性の影響範囲は広大であり、Azure Container Apps を利用している組織全体に影響を及ぼす可能性があります。類似の脆弱性は、コンテナオーケストレーション環境におけるセキュリティリスクを浮き彫りにしています。

悪用の状況

CVE-2025-65037 は 2025年12月18日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、RCE 脆弱性であるため、攻撃者による悪用が懸念されます。CVSS スコアが 10 (CRITICAL) であることから、攻撃の可能性は高いと評価されます。公開されている POC (Proof of Concept) コードは確認されていませんが、この脆弱性の深刻度を考慮すると、早急な対応が必要です。

リスク対象者翻訳中…

Organizations heavily reliant on Azure Container Apps for deploying and managing containerized applications are at significant risk. This includes those using legacy deployments of versions 1.0.0 and earlier, as well as those with less stringent network security configurations. Shared hosting environments utilizing Azure Container Apps are also particularly vulnerable.

検出手順翻訳中…

• azure / container:

Get-AzContainerApp | Where-Object {$_.Version -lt '2.5.4'}

• azure / container: Monitor Azure activity logs for suspicious processes or commands executed within container apps. • azure / container: Review network security group rules to ensure minimal necessary access to container apps. • azure / container: Check for unusual network traffic patterns originating from container apps.

攻撃タイムライン

2025-12-18Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.07% (22% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントazure-container-apps

ベンダーMicrosoft

影響範囲修正版

- – -—

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2025-11-13
公開日2025-12-18
更新日2026-04-16
EPSS 更新日2026-03-23

緩和策と回避策

Azure Container Apps のバージョンを 2.5.4 以降にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートがすぐに利用できない場合は、一時的な緩和策として、ネットワークアクセス制御リスト（ACL）を使用して、Azure Container Apps 環境への不要なネットワークアクセスを制限することを検討してください。また、WAF (Web Application Firewall) を導入し、悪意のあるコード実行を試みるトラフィックをブロックすることも有効です。Azure Container Apps の設定を定期的に見直し、不要な権限や設定を削除することで、攻撃対象領域を縮小できます。アップデート後、コンテナアプリケーションのログを監視し、異常なアクティビティがないか確認してください。

修正方法翻訳中…

Microsoft ha lanzado una actualización para Azure Container Apps que mitiga la vulnerabilidad de inyección de código. Actualice su instancia de Azure Container Apps a la versión 2.5.4 o posterior para solucionar el problema. Consulte la guía de actualización de Microsoft para obtener instrucciones detalladas.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-65037 とは何ですか？（Azure Container Apps の Remote Code Execution (RCE)）

Azure Container Apps におけるコードインジェクションの脆弱性で、攻撃者がネットワーク経由でコードを実行できる可能性があります。

Azure Container Apps の CVE-2025-65037 による影響を受けていますか？

Azure Container Apps のバージョンが 1.0.0 から 2.5.4 未満の場合、影響を受ける可能性があります。

Azure Container Apps の CVE-2025-65037 を修正するにはどうすればよいですか？

Azure Container Apps をバージョン 2.5.4 以降にアップデートしてください。

CVE-2025-65037 は積極的に悪用されていますか？

現時点では具体的な悪用事例は報告されていませんが、RCE 脆弱性であるため、悪用される可能性があります。

CVE-2025-65037 に関する Azure Container Apps の公式アドバイザリはどこで確認できますか？

Microsoft Security Response Center のセキュリティアドバイザリを参照してください: [Microsoft Security Response Center のアドバイザリへのリンクを挿入]