Monsta web-based FTP Remote Code Execution Vulnerability Exploited
2025/11/10 CyberSecurityNews — 人気の Web ベース FTP クライアントである Monsta FTP に、重大なリモート・コード実行 (RCE) の脆弱性 CVE-2025-34299 が発見された。この脆弱性は複数のバージョンに影響を及ぼし、すでに実際の攻撃で悪用されている。
Monsta FTP は、ブラウザ上でリモート・サーバ上のファイルを管理できるファイル転送クライアントであり、専用の FTP ソフトウェアを必要としない。少なくとも 5,000 のインスタンスがインターネット上に公開されており、金融機関や大企業を含む多様なユーザー層にサービスを提供している。
脆弱性とパッチ提供
このセキュリティ脆弱性を悪用する攻撃者は、脆弱な Monsta FTP サーバ上で、認証前にリモート・コード実行を行える。
Monsta の最近のアップデートで広範な入力検証機能が追加されているが、複数のバージョンに深刻な脆弱性が残存していることが、WatchTowr Labs の研究者たちにより確認された。
この脆弱性を悪用する攻撃は、以下の3段階のプロセスで実行される。
- 攻撃者は Monsta FTP を騙して悪意の SFTP サーバに接続させる
- 細工したペイロード・ファイルをダウンロードさせる
- 標的サーバ上の任意のパスに書き込ませる
これにより、脆弱なシステムの完全な制御を取得できる。
| CVE ID | Vulnerability Type | Affected Version | Status | Exploitation |
|---|---|---|---|---|
| CVE-2025-34299 | Remote Code Execution (RCE) | Monsta FTP ≤ 2.11.2 | Patched in v2.11.3 (Aug 26, 2025) | Active exploitation in the wild |
この脆弱性が影響を及ぼす範囲はバージョン 2.10.3~2.11.2 であり、過去に報告されたセキュリティ上の欠陥が適切に修正されていないことを、研究者たちは確認している。
さらに、WatchTowr Labs の分析によると、バージョン 2.10.3 と 2.10.4 の間でコードの変更は最小限に留まっており、バージョン・アップデート後も既知の脆弱性が残存していることが明らかになった。
すでに Monsta FTP は、バージョン 2.11.3 を 2025年8月26日にリリースし、この重大な脆弱性に対応している。したがって、Monsta FTP を運用する組織は、システムを保護するため、直ちに最新版にアップグレードする必要がある。今回の発見は、Web ベースのファイル管理システムにおける継続的なセキュリティ課題を浮き彫りにしている。
この問題は、Monsta FTP の入力検証の仕組みが十分に機能していなかったことに起因します。本来はユーザーが送るデータを厳密にチェックして、危険なコードを実行させないようにする必要がありますが、その処理が一部のバージョンで不完全だったため、攻撃者が悪意のサーバを介して任意のコードを実行できる状況にあります。特に、過去の修正が十分に反映されず、脆弱な箇所が残っていた点が問題だと思われます。ご利用のチームは、ご注意ください。よろしければ、FTP で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.