IBM App Connect Enterprise の脆弱性 CVE-2025-1302 などが FIX:RCE の恐れ

Critical Vulnerabilities Threaten IBM App Connect Enterprise

2025/04/02 SecurityOnline — IBM が公表したのは、App Connect Enterprise (ACE) ソフトウェアの複数のバージョンが、リモート・コード実行 (RCE) に対して脆弱だと警告する、重要なセキュリティ速報である。ただし、その原因となるのは、サードパーティ・パッケージである、jsonpath-plus と snowflake-connector-nodejs における、安全が確保されていないデフォルトの設定であるという。

この脆弱性 CVE-2025-1302 と CVE-2025-24791 は、ハイブリッド・クラウド環境全体での統合と自動化において、広く使用されている ACE のバージョン 12/13 のブランチに影響を及ぼす。

IBM の速報には、「IBM App Connect Enterprise ランタイム/IBM App Connect Enterprise Discovery Connectors/IBM App Connect Enterprise Connector Discovery/OpenAPI Editor は、リモート・コード実行 (RCE) と不適切な権限保持に対して脆弱である」と記されている。

脆弱性の詳細

CVE-2025-1302:jsonpath-plus のリモート・コード実行

jsonpath-plus パッケージのバージョン 10.3.0 未満は、入力に対する不適切なサニタイズを原因とする、リモート・コード実行 (RCE) の影響を受ける。具体的に言うと、eval=’safe’ モードの安全が確保されないデフォルト設定を悪用する攻撃者は、システム上で任意のコード実行の機会を得る。この欠陥は、以前の脆弱性である CVE-2024-21534 (CVSS:9.8) に対する、不完全な修正に関連するものである。この脆弱性の重大度は、深刻なリスクを示している。

CVE-2025-24791:snowflake-sdk における権限の不適切な保持

Snowflake の NodeJS ドライバーである snowflake-connector-nodejs には、ファイル権限に関連する脆弱性 CVE-2025-24791 (CVSS:4.4) が存在する。ローカル・キャッシュ・ディレクトリへの書き込みアクセス権を持つ攻撃者は、一時的な認証情報キャッシュにおいて、ファイル権限チェックをバイパスできる。この脆弱性は、Linux システム上の Snowflake NodeJS ドライバーのバージョン 1.12.0 〜 2.0.1 に影響を及ぼす。すでに Snowflake は、バージョン 2.0.2 をリリースし、この問題に対処している。

影響を受ける製品とバージョン

影響を受ける IBM App Connect Enterprise 製品とバージョンは以下のとおりである:

  • IBM App Connect Enterprise: 13.0.1.0 〜 13.0.2.2/12.0.1.0 〜 12.0.12.11
修正されたバージョン

ユーザーに対して IBM が強く推奨するのは、IBM App Connect Enterprise デプロイメントに適切な修正を適用することで、これらの脆弱性に速やかに対処することだ。

推奨される修正は以下のとおりである:

  • 使用中の IBM App Connect Enterprise が、バージョン 13.0.1.0 〜 13.0.2.2 の場合には、IBM App Connect Enterprise v13- Fix Pack Release 13.0.3.0 へとアップグレードし、APAR IT47820 を適用する。
  • 使用中の IBM App Connect Enterprise が、バージョン 12.0.1.0 ~ 12.0.12.11 の場合は、IBM App Connect Enterprise v12 – Fix Pack リリース 12.0.12.12 へとアップグレードし、APAR IT47820 を適用する。

IBM ACE が依存する jsonpath-plus や snowflake-connector-nodejs のような外部パッケージの脆弱性は、システム全体のセキュリティを脅かします。​サプライチェーン全体のセキュリティ管理が不可欠であることを再認識させられます。 ​なお、直近の IBM 関連の脆弱性は 2025/03/20 の「IBM AIX の深刻な脆弱性 CVE-2024-56346/56347 が FIX:RCE の恐れ」です。よろしければ、IBM で検索と併せてご参照下さい。