CVE-2025-30091: Critical RCE Flaw Found in MoxieManager
2025/03/26 SecurityOnline — メディア・ ファイルのアップロード/整理/保存のプロセスを効率化する MoxieManager は、CMS (content management systems)/Web Hosting controllers/LMS (learning management systems) などのプラットフォームで広く使用されている。この MoxieManager で発見された脆弱性は、任意のコードの挿入/実行を引き起こすものであり、さまざまな環境に重大なリスクをもたらす。
MoxieManager のセキュリティ・アドバイザリには、「この脆弱性 CVE-2025-30091 の CVSSv4 スコアは 9.4 であり、深刻なものだと評価する。MoxieManager PHP インストーラ・コマンドに存在する、この脆弱性を悪用する未認証の攻撃者は、任意のコードの挿入と実行を可能にするかもしれない」と明示されている。
この重大な問題に対処するため、すでに Tiny Technologies は、パッチを適用したバージョン MoxieManager PHP 4.0.0 をリリースし、この問題に対処している。このアドバイザリは、今回のアップデートで講じられた具体的な対策について詳述している。具体的には、以下の内容となる。
- InstallCommand への全リクエストの入力データをサニタイズ
- config.php に挿入される値を addslashes でエスケープ
- インストーラ・プロセスの繰り返し実行を阻止するためのチェック
MoxieManager のユーザーに対して強く推奨されるのは、バージョン 4.0.0 以降への速やかなアップデートである。また、直ちにアップデートできないユーザーのために、一時的な回避策も用意されている。このアドバイザリが提案する手動の回避策は、ソフトウェアをインストールした後、インストール・ディレクトリを手動で削除するというものだ。このアクションにより、未認証の攻撃者によるインストーラ・コマンドの悪用が阻止される。
この脆弱性を発見/報告してくれた Pierre-Yves Guerder に、Tiny Technologies は感意を示している。
MoxieManager に、CVSSv4 スコア 9.4 と評価される、深刻な脆弱性が発生しています。CMS/LMS でファイルやメディア管理に広く使われているツールであることから、その影響は多くのシステムに及ぶ可能性があります。ご利用のチームは、迅速なアップデートを、ご検討ください。よろしければ、CMS で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.