CrushFTP Warns of HTTP(S) Port Vulnerability Enabling Unauthorized Access
2025/03/26 gbhackers — 人気のファイル転送テクノロジーである CrushFTP と、Web アプリ構築で広く使用される React フレームワークである Next.js だが、どちらも深刻な脆弱性について精査されるという状況にある。これらの問題に注目する Rapid7 は、データ・セキュリティと不正アクセスに関する潜在的な影響を強調している。
脆弱性の概要
Next.js の脆弱性 (CVE-2025-29927)
この深刻な脆弱性は、ミドルウェアの不適切な認証に関係している。その欠陥を突く攻撃者は、Next.js アプリケーション内のセキュリティ・チェックをバイパスする可能性を手にする。
ただし、2025年3月25日の時点で、この脆弱性が悪用されたという報告はない。
影響とリスク:CVE-2025-29927 は、Next.js アプリケーションでのミドルウェアの処理方法に起因する。リクエスト内の特定のヘッダーを操作する攻撃者は、認証チェックをバイパスする機会を得るが、その影響のレベルは、それぞれのアプリケーションがミドルウェア・コンフィグレーションに大きく依存する。
緩和策と更新:このリスクを軽減する前提として、開発者にとって必要なことは、対象となるアプリケーションの認証が、Next.js ミドルウェアだけに依存しているかどうかを評価することである。依存している場合には、Next.js の最新バージョンである、13.5.9/14.2.25/15.2.3 へのアップデートが重要となる。なお、アプリケーションのサーバ・サイドでバックエンド API が使用されている場合には、この脆弱性による不正アクセスは発生しない。
CrushFTP の脆弱性 (CVE-2025-2825)
CrushFTP に存在する、この脆弱性は、未認証による HTTP(S) ポートへのアクセスに関するものである。
この問題を放置すると、機密データへの不正アクセスを許す可能性が生じる。Next.js の脆弱性のケースとは異なり、以前にも CrushFTP は悪用されたことがあり、この脅威に対するセキュリティ対策の緊急性が浮き彫りになっている。
影響とリスク: CrushFTP のバージョン 10/11 に影響を及ぼす、すでに公開されている脆弱性により、未認証の HTTP(S) ポート経由で、不正アクセスが発生する可能性がある。 過去において CrushFTP は、攻撃者により悪用され、機密データへの不正アクセスが試行されているため、このリスクは特に懸念されるべきものである。
緩和策と更新:CrushFTP のユーザーに強く推奨されるのは、バージョン 11.3.1 以降へと速やかにアップグレードし、この脆弱性を解決することだ。なお、CrushFTP 内に DMZ 機能を実装すれば、この更新を必要とすることなく、悪用を阻止できる。
どちらの脆弱性も、速やかな対応を必要とするものだ、特に CrushFTP のように、以前に標的とされたテクノロジーにおいては、潜在的な脅威から保護するための、予防的なセキュリティ対策とタイムリーな更新の重要性が強調される。
現時点では、どちらの脆弱性においても、悪用されたという報告はない。つまり、攻撃者による悪用の前に、これらの問題に対処する時間が生じていると捉えるべきだ。
※訳者注 2025/04/07:この脆弱性 CVE-2025-2825 ですが、CVE-2025-31161 との重複であるとして、NVD では 2025/04/04 付けで “Rejected” となっています。NVD は、「すべての CVE ユーザーは、このレコードではなく CVE-2025-31161 を参照してほしい」としています。
CrushFTP の脆弱性に関しては、元の記事では CVE-ID が未採番となっていましたが、後日 CVE-2025-2825 が割り当てられたようです。また、これらの脆弱性に直接の関連性はありませんが、参照元である Rapid7 が自社の脆弱性スキャン・ツールに対して両方の脆弱性への対応をほぼ同時期に行い、その対応状況をまとめて報告したことで、同じ記事内で取り上げられているようです。よろしければ、2025/03/24:Next.js の深刻な認証バイパスの脆弱性 CVE-2025-29927 が FIX:旧バージョンのための回避策は? も、併せてご参照ください。
IoT OT Security News 
You must be logged in to post a comment.