Xerox FreeFlow Flaws Enable SSRF and Remote Code Execution
2025/08/11 gbhackers — Xerox が公開したのは、FreeFlow Core ソフトウェアに対する、重要なセキュリティ・アップデートの情報である。これらの脆弱性を悪用する攻撃者は、サーバサイド・リクエスト・フォージェリ (SSRF) 攻撃を達成し、影響を受けるシステム上でのリモート・コード実行の可能性を手にするという。それらの脆弱性 CVE-2025-8355/CVE-2025-8356 が影響を及ぼす範囲は、FreeFlow Core バージョン 8.0.4 であり2025年8月8日に公開されたセキュリティ情報 XRX25-013 においては、深刻度 “IMPORTANT” と評価されている。
脆弱性の詳細
1つ目の脆弱性 CVE-2025-8355 は、XML 外部エンティティ (XXE) 処理の欠陥に起因し、SSRF 攻撃を可能にするものだ。この脆弱性を悪用する攻撃者は、内部/外部リソースへの想定外のリクエストをサーバに強制的に送信させ、機密性の高い情報やネットワークサービスへのアクセスを、引き起こす可能性を得る。
通常において XXE の脆弱性は、外部エンティティ参照を取り込む XML 入力が、適切な検証を省いて処理された場合に発生し、攻撃者に対して、ローカル・ファイル読取/内部ネットワーク・スキャン/サービス拒否攻撃などを許すものである。
2つ目の脆弱性 CVE-2025-8356 は、リモートコード実行につながる可能性のある、パス・トラバーサルの欠陥である。このタイプの脆弱性を悪用する攻撃者は、ファイル・パス・パラメータを操作することで、到達できないはずのファイルやディレクトリへのアクセスを達成する。
パス・トラバーサル脆弱性が悪用されると、機密性の高いコンフィグ・ファイル読取/システム・リソース・アクセスなどが生じ、深刻なケースでは任意のコード実行にいたる可能性もある。
| CVE ID | Vulnerability Type | Attack Vector | Severity | Impact |
| CVE-2025-8355 | XML External Entity (XXE) | Server-Side Request Forgery (SSRF) | IMPORTANT | Information Disclosure, Network Scanning |
| CVE-2025-8356 | Path Traversal | Remote Code Execution (RCE) | IMPORTANT | System Compromise, Code Execution |
これらの脆弱性は、Horizon3.ai のセキュリティ研究者 Jimi Sebree 氏により発見/報告されたものである。Xerox のセキュリティ・チームと協力して同氏は、この深刻な欠陥を特定し、緩和策を提供した。この責任ある情報開示のアプローチにより、脆弱性が公になる前に、パッチが開発/テストされた。
現時点において、FreeFlow Core バージョン 8.0.4 を使用している組織は、重大なセキュリティ・リスクに直面している。SSRF とリモートコード実行の組み合わせにより、攻撃者は印刷/文書の管理インフラ全体を侵害する可能性を手にしている。この攻撃チェーンが悪用されると、機密文書への不正アクセス/ネットワーク偵察/データ窃取/システム全体の乗っ取りなどが発生する可能性があるという。
SSRF の脆弱性は、エンタープライズ環境で大きなリスクとなる。なぜなら、インターネットから直接アクセスできない社内のネットワークやサービスに対して、FreeFlow Core システムを介したアクセスが可能になってしまうからだ。このアクセスを悪用する攻撃者は、他のシステムへの侵入の機会や、社内ネットワーク・アーキテクチャ情報などを収集する機会を得ることになる。
FreeFlow Core バージョン 8.0.4 を使用するユーザーに対して、Xerox が強く推奨するのは、バージョン 8.0.5 への速やかなアップグレードにより、この2つの脆弱性を修正することだ。
このソフトウェア・アップデートは、Xerox.com の公式サポートチャネルからダウンロードできる。一連の脆弱性の重大性とセキュリティへの影響を考慮するなら、このアップデートは優先されるべきである。
また、システム管理者にとって必要なことは、FreeFlow Core の導入環境を検証し、適切なネットワーク・セグメンテーションとアクセス制御の実施を確認することだ。
Xerox FreeFlow Core 8.0.4 には、2つの欠陥が存在します。1つ目は XML 外部エンティティ (XXE) の処理不備で、意図しないリクエストをサーバに送らせる、SSRF 攻撃を可能にするものです。2つ目はパス・トラバーサルの欠陥であり、通常では到達できない領域へのアクセスや任意コード実行が可能になります。ご利用のチームは、十分に ご注意ください。よろしければ、Xerox で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.