LOWCVE-2025-9821CVSS 2.7

Mautic が webhook 関数を介して SSRF に脆弱

Q: CVE-2025-9821 in Mautic Coreに影響を受けますか？

Mautic Coreのバージョンが4.4.9以前の場合は、影響を受けます。バージョン4.4.17へのアップデートが必要です。

Q: CVE-2025-9821 in Mautic Coreを修正するにはどうすればよいですか？

Mautic Coreをバージョン4.4.17にアップデートしてください。アップデート前に必ずバックアップを作成し、WAFの導入も検討してください。

Q: CVE-2025-9821は積極的に悪用されていますか？

現時点では、活発な悪用事例は確認されていませんが、SSRFは比較的簡単に悪用できる脆弱性であるため、注意が必要です。

Q: CVE-2025-9821に関するMauticの公式アドバイザリはどこで入手できますか？

Mauticの公式アドバイザリは、Mauticのセキュリティ情報ページで確認できます。

プラットフォーム

php

コンポーネント

mautic/core

修正版

4.4.18

5.2.9

6.0.6

4.4.17

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-9821は、Mautic Coreのバージョン4.4.9以前に存在するサーバーサイドリクエストフォージェリ（SSRF）の脆弱性です。この脆弱性を悪用されると、攻撃者は内部サービスへのアクセスを試み、機密情報を取得する可能性があります。影響を受けるバージョンは4.4.9以前であり、バージョン4.4.17へのアップデートで修正されています。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者がMautic CoreのWebhook機能を利用して、本来アクセスできないはずの内部ネットワークリソースにアクセスすることを可能にします。攻撃者は、ファイアウォールを迂回し、内部サービスとやり取りしたり、機密情報を取得したりする可能性があります。例えば、内部メタデータサーバーやデータベースにアクセスし、認証情報を盗み出すことが考えられます。OWASPのSSRF対策チートシート（https://cheatsheetseries.owasp.org/cheatsheets/ServerSideRequestForgeryPreventionCheatSheet.html）を参照してください。

悪用の状況

この脆弱性は、2025年9月3日に公開されました。現時点では、KEV（CISA Known Exploited Vulnerabilities）に登録されていません。公開されているPoCは確認されていませんが、SSRFは比較的簡単に悪用できる脆弱性であるため、注意が必要です。NVD（National Vulnerability Database）およびCISA（Cybersecurity and Infrastructure Security Agency）の情報を定期的に確認し、最新の情報を入手するようにしてください。

リスク対象者翻訳中…

Organizations using Mautic Core for marketing automation, particularly those with internal services accessible via webhooks, are at risk. Environments with overly permissive webhook configurations or shared hosting setups where multiple users share webhook access are especially vulnerable.

検出手順翻訳中…

• php / server:

find /var/www/mautic/ -name 'WebhookController.php' -print0 | xargs -0 grep -i 'request->uri'

• generic web:

curl -I http://your-mautic-instance/webhooks/send | grep -i 'server:'

攻撃タイムライン

2025-09-03Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.03% (9% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmautic/core

ベンダーosv

影響範囲修正版

>= 4.4.0 – < 4.4.174.4.18

>= 5.0.0-alpha – < 5.2.85.2.9

>= 6.0.0-alpha – < 6.0.56.0.6

4.4.04.4.17

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-09-02
公開日2025-09-03
EPSS 更新日2026-03-23

緩和策と回避策

まず、Mautic Coreをバージョン4.4.17にアップデートすることを強く推奨します。アップデートが一時的にシステムに影響を与える可能性がある場合は、バックアップを作成してからアップデートを実行してください。また、WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御するルールを設定することも有効です。Webhookの送信先を厳密に制限し、許可されていないドメインへのアクセスをブロックする設定も重要です。アップデート後、Webhookの設定を確認し、不正な送信先がないか確認してください。

修正方法

該当するバージョンブランチに応じて、Mautic をバージョン 4.4.17、5.2.8、または 6.0.5 以降にアップデートしてください。これにより、webhook の宛先を適切に検証することで、SSRF の脆弱性が修正されます。設定に影響を与える可能性のある追加の変更については、リリースノートを確認してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-9821 — SSRF in Mautic Coreとは何ですか？

CVE-2025-9821は、Mautic Coreのバージョン4.4.9以前に存在するサーバーサイドリクエストフォージェリ（SSRF）の脆弱性です。攻撃者はWebhook機能を利用して内部リソースにアクセスできる可能性があります。

CVE-2025-9821 in Mautic Coreに影響を受けますか？