無料スキャン
分析待ちCVE-2025-70364

CVE-2025-70364: RCE in Kiamo

プラットフォーム

php

コンポーネント

kiamo

修正版

8.4

NVDで見る
保存

CVE-2025-70364は、Kiamoのバージョン8.4以前に発見された脆弱性です。認証された管理者権限を持つ攻撃者が、サーバー上で任意のPHPコードを実行できる可能性があります。この脆弱性は、Kiamoの管理機能における意図的な設計によるものであり、特定のPHP関数の制限が8.4で追加されました。影響を受けるバージョンは0.0.0から8.3までです。バージョン8.4へのアップグレードで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者は認証された管理者権限を保持していることを前提に、サーバー上で任意のPHPコードを実行できます。これにより、機密情報の窃取、システムの改ざん、さらにはサーバー全体の制御権の奪取といった深刻な被害が発生する可能性があります。攻撃者は、この脆弱性を利用して、他のシステムへの横展開を試みる可能性も考えられます。類似のPHPコード実行脆弱性は、Webアプリケーションのセキュリティを著しく低下させる要因となります。

悪用の状況

このCVEは2026年4月9日に公開されました。現時点では、KEVに登録されていません。EPSSスコアは評価待ちです。公的に利用可能なPoCは確認されていませんが、認証された管理者権限を必要とするため、攻撃対象の範囲は限定的であると考えられます。NVDおよびCISAからの情報もまだありません。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO

EPSS

0.05% (17% パーセンタイル)

影響を受けるソフトウェア

コンポーネントkiamo
ベンダーn/a
最小バージョン0.0.0
最大バージョンn/a
修正版8.4

タイムライン

  1. 公開日
  2. 更新日
  3. EPSS 更新日

緩和策と回避策

この脆弱性への主な対策は、Kiamoをバージョン8.4にアップグレードすることです。アップグレードがシステムに影響を与える場合は、ロールバック手順を事前に準備しておくことを推奨します。また、Webアプリケーションファイアウォール(WAF)やリバースプロキシを設定し、悪意のあるPHPコードの実行を検知・遮断するルールを実装することも有効です。PHP関数の制限を強化する設定変更も検討してください。アップグレード後、PHPコードの実行を試みる攻撃がないことを確認してください。

修正方法翻訳中…

Actualice Kiamo a la versión 8.4 o superior para mitigar la vulnerabilidad. Esta versión introduce restricciones en algunas funciones PHP, limitando la capacidad de los atacantes para ejecutar código arbitrario.

よくある質問

CVE-2025-70364 — RCE in Kiamoとは何ですか?

CVE-2025-70364は、Kiamoのバージョン8.4以前に発見された脆弱性で、認証された管理者権限を持つ攻撃者がサーバー上で任意のPHPコードを実行できる可能性があります。8.4でPHP関数の制限が追加されました。

CVE-2025-70364 in Kiamoの影響を受けていますか?

Kiamoのバージョンが0.0.0から8.3までの場合は、この脆弱性の影響を受けています。バージョン8.4以降を使用している場合は、影響を受けません。

CVE-2025-70364 in Kiamoを修正するにはどうすればよいですか?

Kiamoをバージョン8.4にアップグレードすることで、この脆弱性を修正できます。アップグレード前に、システムの互換性を確認し、必要に応じてバックアップを作成してください。

CVE-2025-70364は積極的に悪用されていますか?

現時点では、この脆弱性が積極的に悪用されているという報告はありません。しかし、認証された管理者権限を必要とするため、攻撃対象の範囲は限定的であると考えられます。

CVE-2025-70364に関するKiamoの公式アドバイザリはどこで入手できますか?

Kiamoの公式アドバイザリは、KiamoのウェブサイトまたはGitHubリポジトリで確認できます。詳細は、Kiamoのサポートチームにお問い合わせください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...