無料スキャン
分析待ちCVE-2025-70364

CVE-2025-70364: RCE in Kiamo Photo Management Software

プラットフォーム

php

コンポーネント

kiamo

修正版

8.4

NVDで見る
保存

CVE-2025-70364 describes a Remote Code Execution (RCE) vulnerability discovered in Kiamo photo management software versions before 8.4. This vulnerability allows authenticated administrative users to execute arbitrary PHP code on the server, potentially leading to complete system compromise. While the vendor considers this a historical feature, restrictions on PHP functions were added in version 8.4 to address the risk. Upgrade to version 8.4 is recommended.

影響と攻撃シナリオ

CVE-2025-70364 は、8.4 以前のバージョンの Kiamo に影響を与え、認証された管理者権限を持つ攻撃者がサーバー上で任意の PHP コードを実行できるようにします。ベンダーは、この機能を「製品の歴史的かつ意図された管理機能であり、明示的に管理者権限を付与された認証済みユーザーのみがアクセス可能」であると主張していますが、8.4 バージョンまで脆弱性は存在します。任意のコードの実行により、攻撃者は Kiamo サーバーを完全に制御し、機密データを侵害したり、構成を変更したり、他のシステムへの攻撃の開始点としてサーバーを使用したりする可能性があります。この問題の重大性は、不正アクセスとシステム制御の可能性にあります。そのため、迅速なアップデートが必要です。

悪用の状況

この脆弱性は、攻撃者が Kiamo システムで管理者として認証されていることを必要とします。ベンダーは、この機能が意図されていると主張していますが、8.4 以前のバージョンにおける適切な制限の欠如により、任意のコードの実行が可能になります。管理者アクセス権を持つ攻撃者は、管理インターフェースを介して、または構成ファイルを操作することによって、悪意のある PHP コードを挿入する可能性があります。攻撃が成功すると、サーバーの完全な制御が可能になり、攻撃者は機密データにアクセスしたり、システム構成を変更したり、他のシステムへの攻撃を開始したりする可能性があります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO

EPSS

0.05% (17% パーセンタイル)

影響を受けるソフトウェア

コンポーネントkiamo
ベンダーn/a
最小バージョン0.0.0
最大バージョンn/a
修正版8.4

タイムライン

  1. 公開日
  2. 更新日
  3. EPSS 更新日

緩和策と回避策

CVE-2025-70364 の主な軽減策は、Kiamo を 8.4 以降のバージョンにアップデートすることです。このバージョンには、特定の PHP 関数に対する制限が含まれており、任意のコードの実行リスクが大幅に軽減されます。さらに、許可されたユーザーのみが管理者権限を持つように、アクセス制御ポリシーをレビューおよび強化することをお勧めします。サーバーログを定期的に監査して疑わしいアクティビティを検出および対応することも役立ちます。ファイアウォールと侵入検知システムの導入により、追加のセキュリティレイヤーを提供できます。

修正方法翻訳中…

Actualice Kiamo a la versión 8.4 o superior para mitigar la vulnerabilidad. Esta versión introduce restricciones en algunas funciones PHP, limitando la capacidad de los atacantes para ejecutar código arbitrario.

よくある質問

CVE-2025-70364 とは何ですか?(Kiamo)

これは、攻撃者がサーバー上で自由に選択した PHP コードを実行できることを意味し、システムに対する大きな制御権限を与えます。

Kiamo の CVE-2025-70364 による影響を受けていますか?

はい、アップデートはリスクを軽減するために不可欠です。制限された権限があっても、PHP コードの処理方法にある脆弱性があるためです。

Kiamo の CVE-2025-70364 を修正するにはどうすればよいですか?

アップデートするまで、管理者アクセスを厳しく制限し、サーバーログを疑わしいアクティビティがないか監視してください。

CVE-2025-70364 は積極的に悪用されていますか?

ファイアウォール、侵入検知システムを実装し、アクセス制御ポリシーを定期的にレビューしてください。

CVE-2025-70364 に関する Kiamo の公式アドバイザリはどこで確認できますか?

詳細な手順については、Kiamo の公式ドキュメントまたはベンダーの Web サイトを参照してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...