IBM Aspera Faspex Flaw Allows Injection of Malicious JavaScript in Web UI
2025/04/14 gbhackers — 広く普及しているファイル交換ソリューション IBM Aspera Faspex 5 に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-3423 (CVSS:5.4) を悪用する攻撃者は、Web インターフェイスに悪意の JavaScript を挿入し、ユーザーの機密データを侵害する可能性を手にする。
脆弱性の詳細
この脆弱性は、DOM ベースのクロスサイト・スクリプティング(XSS)の問題として分類されている。この脆弱性を悪用する認証済のユーザーは、アプリケーションの Web UI内 に任意の JavaScript コードを埋め込むことが可能となる。
このコードが実行されると、プラットフォームの本来の機能が変更され、信頼されたセッション中にユーザーの認証情報などのシークレットが漏洩する可能性がある。
この問題の Common Weakness Enumeration (CWE) コードは、CWE-79であり、Webページ生成時の入力情報の不適切な無効化に起因する。
この脆弱性の攻撃ベクターは、リモートであり、攻撃者が作成する悪意のあるリンクのクリックなどの、ユーザーによる操作を必要とするものだ。
| Aspect | Details | |
| Vulnerability ID | CVE-2025-3423 | |
| Severity | Moderate (CVSS Base Score: 5.4) | |
| Affected Versions | IBM Aspera Faspex 5.0.0 through 5.0.11 | |
| Remediation/Fix | Upgrade to version 5.0.12 on Linux platforms | |
影響を受けるバージョン
この脆弱性は、IBM Aspera Faspex バージョン 5.0.0~5.0.11 に影響を及ぼす。これらのバージョンを使用しているユーザーに対して、強く推奨されるのは、直ちに対策を講じて、潜在的なリスクを軽減することだ。
すでに IBM は、アップデート版をリリースし、この脆弱性に対処している。Linux プラットフォーム上のユーザーは、IBM Aspera Faspex バージョン 5.0.12 へとアップグレードし、CVE-2025-3423 によるリスクを排除する必要がある。なお、このパッチは、IBM の公式サポート・ページからダウンロードできる。
残念なことに、この脆弱性に関しては、回避策や緩和策が存在しない。したがって、セキュリティ維持のためには、最新バージョンへのアップグレードが不可欠となる。
この脆弱性を悪用されると、ユーザーのブラウザ・セッション内で攻撃者がスクリプトを実行し、不正アクセスやログイン認証情報などの、機密情報の窃取に盗難につながる可能性がある。
現時点では、PoC エクスプロイトは公開されていないが、この脆弱性はリモートから悪用される可能性があるため、潜在的なリスクは高いと言える。
2025年4月11日に IBM は、セキュリティ情報プラットフォームを通じて、この脆弱性を公開し、詳細な修正ガイダンスを提供している。
この問題が浮き彫りにするのは、企業システムの保護における、プロアクティブな脆弱性管理の重要性である。
IBM Aspera Faspex の脆弱性 CVE-2025-3423 が FIX しました。この脆弱性は中程度の深刻度とされていますが、過去には MOVEit Transfer や Cleo など、ファイル転送ソリューションの脆弱性を突いた攻撃が実際に発生しています。ご利用のチームは、アップグレードを忘れないよう、ご注意ください。よろしければ、以下の関連記事も、IBM で検索と併せて、ご参照ください。
2025/01/25:ANICO でデータ侵害が発覚:MOVEit の悪用?
2024/12/26:Cleo の脆弱性の悪用:60社の侵害を Clop が主張
2024/12/15:Cleo の脆弱性の悪用を観測:Clop の犯行か?
2024/12/12:Cleo の脆弱性が標的:Java バックドアを検出
2023/12/18:MOVEit 脆弱性:Delta Dental 700万人分の情報流出
2023/11/10:MOVEit 攻撃:米メイン州政府で個人情報にアクセス
2023/09/25:MOVEit ハッキング:900 の大学の情報が流出
IoT OT Security News 
You must be logged in to post a comment.