Xerox FreeFlow Core の脆弱性 CVE-2025-8355／8356：PoC エクスプロイトが公開

Xerox FreeFlow Core Vulnerability Allows Remote Code Execution — PoC Now Public

2025/08/14 gbhackers — Xerox FreeFlow Core に存在する深刻な脆弱性について、セキュリティ研究者たちが報告している。脆弱性 CVE-2025-8355／CVE-2025-8356 を悪用する未認証のリモート攻撃者は、脆弱なシステム上での任意のコード実行の可能性を手にする。すでに、この脆弱性に対する PoC エクスプロイトが公開されており、人気の印刷オーケストレーション・プラットフォームを使用する組織にとって、深刻な懸念が生じている。

深刻な脆弱性を発見

サイバー・セキュリティ企業 Horizon3.ai は、Xerox FreeFlow Core に２つの深刻な脆弱性を発見した。１つ目の CVE-2025-8355 は、XML 外部エンティティ (XXE) インジェクションの脆弱性であり、２つ目の CVE-2025-8356 は、パス・トラバーサルの脆弱性である。

Attribute	CVE-2025-8355	CVE-2025-8356
Severity	Critical	Critical
Impact	Remote Code Execution, SSRF	Remote Code Execution, File Upload
Affected Product	Xerox FreeFlow Core	Xerox FreeFlow Core
Vulnerability Type	XML External Entity (XXE) Injection	Path Traversal
Patched Version	8.0.5	8.0.5

これらの脆弱性を悪用する攻撃者は、認証を必要とすることなくリモート・コード実行を達成するため、インターネットに接続されたシステムは、きわめて危険な状態にある。

この発見は、Horizon3.ai の NodeZero プラットフォームによるものである。脆弱なソフトウェアが含まれていないはずのホストから、XXE エクスプロイトのコールバックを検出したという、異例の顧客サポート・リクエストに端を発していると、同社は述べている。

この状況を受けて、Horizon3.ai は詳細な調査を実施し、FreeFlow Core システムに存在する脆弱性が明らかになった。

技術分析と影響

Xerox FreeFlow Core は、包括的な印刷オーケストレーション・プラットフォームであり、主として商業印刷企業／パッケージング・プロバイダーに導入され、大学や政府などの組織における大規模な印刷業務にも用いられている。

このプラットフォームの複雑なアーキテクチャには、複数のサービスが取り込まれており。ポート 4004 の JMF クライアント・サービスが主な攻撃ベクターとされている。

XXE インジェクションの脆弱性は、JMF (Job Message Format) メッセージ処理システムにおける、不適切な XML 解析の悪用が可能になる。したがって、悪意の XML リクエストを送信する攻撃者は、サーバ・サイド・リクエスト・フォージェリ攻撃を実行し、機密性の高いシステム情報にアクセスする可能性を得る。

さらに深刻なのは、ファイル処理メカニズムにおける、パス・トラバーサルの脆弱性が発生していることである。それを悪用する攻撃者は、公開されているディレクトリに Web シェルをアップロードし、侵害したシステムに対する即時的なリモート・アクセスを可能にする。

印刷ワークフローには、リリース前のマーケティング資料や、機密性の高い企業情報が含まれることが多いことを考えると、これらの脆弱性の組み合わせは、サイバー犯罪者にとってきわめて魅力的な標的となる。さらに、このプラットフォームは、比較的オープンなネットワーク・アクセスを必要とするため、予想以上にリスクは増大していく。

2025年6月に Horizon3.ai が開始した責任ある情報開示プロセスに従い、2025年8月8日に Xerox は FreeFlow Core バージョン 8.0.5 をリリースし、２つの脆弱性に対処した。この脆弱性情報が、一般に公開前されるまでの２か月以上にわたり、両社は協力してパッチの開発とテストを行った。

FreeFlow Core を利用する組織に対して強く推奨されるのは、バージョン 8.0.5 への速やかなアップグレードである。これらの脆弱性の深刻度と、すでに PoC エクスプロイトが公開されている状況を考慮すると、パッチの適用に遅滞が生じれば、システムの完全な侵害という可能性が生じると捉えるべきだ。

今回の情報開示のタイムラインは、業界のベスト・プラクティスを示している。最初の連絡は６月に行われ、脆弱性の確認とパッチ開発は７月を通して行われ、調整された情報公開は８月に実施されている。

この慎重なアプローチにより、Xerox 社は包括的な修正プログラムの開発に十分な時間を確保しながら、セキュリティ・コミュニティに対するリスク通知をタイムリーに提供できた。

ユーザー組織のセキュリティ・チームにとって必要なことは、脆弱な FreeFlow Core インストールに対するスキャンを実施し、速やかなアップグレードを実施することだが、それが不可能な場合には、緊急パッチの適用を優先すべきである。

Xerox FreeFlow Core の脆弱性ですが、１つ目の XXE インジェクションは、XML を解析する仕組みが十分に安全化されていないため、攻撃者が細工した XML を送り込むことで、本来アクセスできない情報に触れる可能性があります。２つ目のパス・トラバーサルは、ファイル処理の仕組みに問題があり、通常なら許されない場所にファイルを書き込めてしまいます。その結果、攻撃者は Web シェルを配置し、システムを外部から自由に操作できる状態にしてしまうと、この記事は指摘しています。なお、この脆弱性に関する第一報は、2025/08/11 の「Xerox FreeFlow の脆弱性 CVE-2025-8355／8356 が FIX：深刻な SSRF と RCE の可能性」となります。よろしければ、ご参照ください。