CVE-2025-46619: LFI Vulnerability Affects Multiple Versions of Couchbase Server for Windows
2025/05/02 SecurityOnline — 高性能でインタラクティブなアプリケーション向けに設計され、広く利用されている NoSQL ドキュメント・データベース Couchbase Server に、深刻な脆弱性 CVE-2025-46619 (CVSS:8.7) が発見された。この、Windows 版 Couchbase Server に影響を及ぼす、ローカル・ファイル・インクルード (LFI:Local File Inclusion) の脆弱性を悪用する攻撃者は、機密性の高いシステム・ファイルへのアクセスを手にする可能性があるという。
分散型マルチ・モデル・アーキテクチャを持つ Couchbase Server は、key-value ペアと JSON ドキュメント・ストレージをサポートし、N1QL エンジンによる SQL ライクなクエリを提供している。データ集約型アプリケーションをリアルタイムで実行し、クラウド・ネイティブの Couchbase Capella プラットフォームと組み合わせることで、モダン・アプリケーションを拡張する企業にとって、頼りになる選択肢となっている。
この LFI の脆弱性が悪用されると、基盤システムに保存されている重要ファイルへの不正アクセスが可能になる。攻撃の前提としては、ローカル・アクセス権もしくは、間接的な権限が必要となるが、ユーザー・コンテキストに応じて重大な結果を招く可能性がある。アドバイザリには、「権限レベルによっては、この脆弱性により “/etc/passwd” や “/etc/shadow” などのファイルへの、アクセスが許可される可能性がある」と記されている。
影響を受けるバージョンは、以下のとおりである:
- 7.6.3/7.6.2/7.6.1/7.6.0
- 7.2.6/7.2.5/7.2.4/7.2.3/7.2.2/7.2.1/7.2.0
- 7.1.x
- 7.0.x
- 6.x
- 5.x
- 4.x
- 3.x
- 2.x
すでに Couchbase は、修正版をリリースし、この重大な脆弱性に対処している。Windows ベースの Couchbase Server 環境を保護するために、以下の修正バージョンへと、速やかにアップグレードしてほしい:
- 7.6.4
- 7.2.7
Windows 版の Couchbase Server に、CVSS 値が 8.7 の深刻な LFI 脆弱性が発生しています。ご利用のチームは、アップデートをお急ぎください。なお、前回の Couchbase Server 関連の記事は、 2024/02/28 の「Couchbase Server の権限昇格の脆弱性 CVE-2023-43769 (CVSS 9.1) などが FIX:ただちにパッチを!」です。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.