CISA KEV 警告 25/11/04:Control Web Panel の脆弱性 CVE-2025-48703 を登録

CISA Warns of Control Web Panel OS Command Injection Vulnerability Exploited in Attacks

2025/11/05 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Control Web Panel (CWP:旧称 CentOS Web Panel) に存在する深刻な OS コマンド インジェクション脆弱性を Known Exploited Vulnerabilities (KEV) カタログに登録した。この脆弱性 CVE-2025-48703 を悪用する未認証のリモート攻撃者は、最小限の条件さえクリアすれば脆弱なシステム上で任意のコマンドを実行できる。

この脆弱性は、ファイル・マネージャーの “changePerm” リクエスト機能に存在し、”t_total” パラメータへの悪意のシェル・メタ文字の挿入により、リモート・コード実行を引き起こす。

特に懸念されるのは、有効な非ルート・ユーザー名さえ把握している攻撃者であれば、この脆弱性を悪用できる点である。この容易な侵入経路により、脅威アクターは特別なアクセスや認証情報を必要とすることなく、脆弱な CWP インストールを組織的に標的化していける。

CWP OS コマンド・インジェクション脆弱性

この脆弱性は CWE-78 に分類されており、OS コマンドで使用される特殊要素の不適切な無効化を示している。意図されたコマンド・コンテキストから逸脱する攻撃者が、Web アプリケーション・プロセスの権限で任意のシステム・コマンド実行を可能にする、基本的な入力検証の不備を反映している。

2025年11月4日に CISA は、脆弱性 CVE-2025-48703 を KEV カタログに登録した。それが示すのは、この脆弱性が連邦政府組織で実際に悪用されていることだ。同組織は、2025年11月25日を期限と設定しており、それまでに各組織はシステムのセキュリティを確保する必要がある。

この CISA の勧告は、拘束的運用指令 BOD 22-01 のコンプライアンス要件をサポートすべきクラウド・サービス運営組織にとって、即時の対応が必要であることを示している。

脆弱な CWP 環境を運用している組織は、以下を考慮する必要がある:

  • ベンダー提供のセキュリティ・パッチと緩和策を直ちに適用する。これらのアップデートにより、不正アクセス経路が遮断され、適切なアクセス制御が回復される。
  • 次に、クラウド・サービス・プロバイダに依存している組織は、BOD 22-01 ガイダンスを確実に実装する必要がある。
  • 迅速なパッチ適用が不可能な場合には、この脆弱性の露出を排除するために、製品の使用を完全に中止することを検討すべきだ。
CVE IDVulnerabilityAffected Component
CVE-2025-48703OS Command InjectionControl Web Panel (CWP) – filemanager changePerm

Control Web Panel の導入を管理する、システム管理者にとって必要なことは、パッチ適用スケジュールにおいて、この脆弱性を優先することだ。それに加えて、ネットワークのセグメンテーション/アクセス制御の見直し/CWP システムにおける不審なアクティビティの監視などが、緊急の対策として不可欠となる。

さらに管理者は、シェル・メタキャラクタや異常なパラメータ値を含む、不規則なファイル・マネージャー changePerm リクエストがログに記録されていないことを確認し、インスタンスにおける侵害の有無を調査すべきである。

また、CWP の導入状況を把握できていない組織は、すべてのインスタンスを特定するために、緊急のインフラ監査を実施する必要がある。

Control Web Panel の脆弱性は、不適切な実装に起因します。ファイル・マネージャーの changePerm リクエストを介して、”t_total” パラメータに挿入されたシェルメタ文字が検証されず、OS コマンド・インジェクションを引き起こすとされます。非ルート・ユーザーのさえ把握していれば、悪用が可能になるという設計上の欠陥が組み合わされます。ご利用のチームは、ご注意ください。よろしければ、2025/06/25 の「CentOS Web Panel の脆弱性 CVE-2025-48703 が FIX:リモート・コード実行を証明する PoC も登場」を、ご参照ください。