ISSコラム

column by iss

2025年11月の主な脆弱性情報

2025.12.17

FortiWebに存在する認証バイパスのパストラバーサル脆弱性(64446)およびOSコマンドインジェクション脆弱性(58034)(CVE-2025-64446,CVE-2025-58034)【CVSS 9.3:緊急】

Fortinetは11月14日に公式アドバイザリを発表し(当初は製品アップデートに潜在的修正を含める「サイレントパッチ」対応でした)、管理インタフェースを外部公開しない等の緩和策適用と最新版への緊急アップデートを呼びかけています。

Samsung製Galaxyシリーズ等に搭載された画像処理ライブラリのゼロクリック遠隔コード実行脆弱性(CVE-2025-21042)【CVSS 9.8:緊急】

細工された悪性画像(DNG形式)を受信するだけで端末が乗っ取られる可能性があり、ユーザの操作なしに完全なデバイス制御を許す点で極めて危険です 。攻撃に用いられたエクスプロイトコード相当の情報も公開されており(研究者らによる分析)、WhatsApp経由で不審な画像ファイルを受信した場合の警戒が呼びかけられています。

Windows 10/11およびWindows Serverに存在するカーネルの競合状態に起因するローカル権限昇格脆弱性(CVE-2025-62215) 【CVSS 7.0:重要】

通常ユーザ権限の攻撃者がタイミング攻撃によりSYSTEM権限を獲得できる欠陥で、Microsoftは2025年11月の月例更新で修正するとともに、この脆弱性が既に「積極的な攻撃に利用されている」と警告しました 。各組織において速やかなパッチ適用とログ監視強化が推奨されます 。

Triofoxの認証不備の脆弱性(CVE-2025-12480) 【CVSS 9.1:緊急】

企業向けファイル共有プラットフォームTriofoxの認証不備(不適切なアクセス制御)により、未認証のまま管理者権限を取得しリモートコード実行可能となる脆弱性です 。2025年11月13日付でCISA KEVに追加されており 、各国のCERT機関も注意喚起を発出しました。なお本脆弱性の技術詳細やPoCコードは既に公開されており、攻撃者によるさらなる悪用拡大が懸念されています。

Fireware OSの遠隔コード実行脆弱性(CVE-2025-9242) 【CVSS 9.3:緊急】

中小企業向けUTM/ファイアウォール製品であるWatchGuard FireboxのFireware OSに存在する境界ネットワーク機器の遠隔コード実行脆弱性です。VPN機能(Mobile User VPN with IKEv2およびブランチオフィスVPN)に関連する**バッファオーバーフロー(アウトオブバウンズ書き込み)**により、認証なしに任意コード実行が可能となります 。管理者は速やかなアップデート適用と、インターネット越しの管理UIアクセスを無効化する等の対策を講じるべきです。

Oracle Identity Managerの認証バイパスに関する脆弱性(CVE-2025-61757) 【CVSS 9.8:緊急】

アイデンティティ管理システムOracle Identity Managerの認証バイパスによるPre-auth RCE脆弱性です。標的性の低い無差別攻撃も含まれるとみられ、Oracle製品を利用する全組織で早急なパッチ適用が強く推奨されます。

Windows版WinRARに存在するパストラバーサル脆弱性(CVE-2025-6218) 【CVSS 7.8:重要】

Windows版WinRARに存在するパストラバーサル脆弱性で、細工した圧縮ファイル(RARアーカイブ)をユーザに解凍させることで、任意のファイルをシステム上の任意パスに展開・実行できる可能性があります 。ロシアのGamaredon(APT31系)も本脆弱性を悪用したスピアフィッシングキャンペーンを11月にウクライナ政府・軍事機関等に対して展開し、Pteranodonと呼ばれるマルウェアを感染させたことが報告されました 。Gamaredonによる活動は単なる諜報に留まらず、削除不能のバックドア設置やデータ破壊(新型ワイパー「GamaWiper」の展開)などサイバースパイからサイバー破壊工作へのエスカレーションも示唆されています 。CISAは2025年12月に本脆弱性をKEVに追加し、連邦機関へ年末までのアップデート適用を指示しました 。

Control Web PanelのOSコマンドインジェクション脆弱性(CVE-2025-48703)【CVSS 8.8:重要】

CentOS後継のOSSサーバ管理ツールCWP (Control Web Panel, 旧称CentOS Web Panel)に存在する認証不要のOSコマンドインジェクション脆弱性です 。悪用には標的システム上の有効な非rootユーザ名を事前に知っている必要があり、難易度はやや高めですが、ユーザ名は予測可能なケースが多いため注意が必要です 。ユーザは早急にバージョンアップの上、管理ポート(2083番など)へのアクセス制限や攻撃痕跡の確認を行うことが推奨されます。

本コラムについて

インターネットセキュアサービス㈱(以下、ISS)が提供する脆弱性情報は、全ての脆弱性情報を対象にせず、ISSが次の基準で判断しています。

・インターネット上で悪用が確認されている脆弱性

・CVEスコアが低くても対応が必要と判断した脆弱性

・ISSが対応したインシデントの経験から危険性が高いと判断される脆弱性

なお、記載内容は全てを保証するものではありません。

ISSは、皆様のセキュリティ対策のお役に立つ情報を積極的に発信してまいります。

  • 2025年10月の主な脆弱性情報

  • 2025年9月の主な脆弱性情報

  • 2025年8月の主な脆弱性情報