M-Files Vulnerability Allows Attackers to Steal Active User Session Tokens
2025/12/24 gbhackers — M-Files Server に存在する、深刻な情報漏洩のセキュリティ脆弱性が明らかにされた。この脆弱性を悪用する認証済みの攻撃者は、M-Files Web インターフェイスを介して他ユーザーのアクティブなセッション・トークンを取得し、なりすましや機密情報への不正アクセスを可能にする。2025年12月19日に公開された、この脆弱性 CVE-2025-13008 は、エンタープライズ環境に導入されている複数の M-Files Server バージョンに影響を及ぼすものだ。
脆弱性 CVE-2025-13008 の概要
情報漏洩の脆弱性 CVE-2025-13008 は、M-Files Web のセッション・トークン保護メカニズムの不備に起因する。
この脆弱性を悪用する認証済みの攻撃者は、M-Files Web インターフェイスをアクティブに使用している他ユーザーのセッション・トークンを傍受し、盗み出す可能性がある。
| Field | Details |
|---|---|
| CVE ID | CVE-2025-13008 |
| Vulnerability Type | Information Disclosure / Session Token Exposure |
| Affected Component | M-Files Web (M-Files Server) |
| Severity | High |
| CVSS 4.0 Score | 8.6 |
この脆弱性を悪用する攻撃者は、アクティブなセッション中のトークン窃取を可能にするが、その前提として、被害者による特定のクライアント操作が必要になる。
この攻撃に成功した攻撃者は、盗み出したセッション・トークンの ID/権限/アクセス権を継承して正当なユーザーを装える。それにより、防御システムに検知されることなく、機密文書の不正閲覧/重要な記録の改竄/特権アクションの実行などを可能にする。
この攻撃手法は、ユーザー・パスワードを侵害するものではなく、有効なセッション認証情報を悪用するものであるため、従来の認証制御を迂回する可能性がある。
この脆弱性が影響を及ぼす範囲は、 M-Files Server のバージョン 25.12.15491.7/LTS 25.8 SR3 (25.8.15085.18)/LTS 25.2 SR3 (25.2.14524.14)/LTS 24.8 SR5 (24.8.13981.17) 未満となる。
この脆弱性の深刻度について、M-Files は CVSS 4.0:8.6 と評価しており、機密性/整合性/可用性に重大なリスクが生じるとしている。
この脆弱性は、CWE-359 (個人情報の不正な漏洩) に分類され、CAPEC-60 (セッション ID の再利用/セッションリプレイ) にマッピングされている。
現時点において、この脆弱性の悪用は確認されていない。ただし、パッチ適用が遅滞すると、将来的な悪用が懸念される。
M-Files Server を利用する組織は、パッチ適用済みバージョン (25.12.15491.7 または導入環境に適した LTS サービスリリース) に直ちにアップグレードする必要がある。
セキュリティ・チームにとって必要なことは、パッチが完全に展開されるまでの間に、M-Files Web アクセスログで疑わしいセッション・アクティビティを監査し、トークンベース認証の異常を検出するための、追加の監視を実施することである。
M-Files Server に、セッション・トークン漏洩の脆弱性 CVE-2025-13008 が発生しました。この問題の原因は、Web インターフェース (M-Files Web) における、セッション・トークン保護の不備にあります。それにより、ログイン状態を証明するトークンが、特定の操作をきっかけに外部へ漏れ出してしまう状態になっていました。それを悪用する攻撃者は、パスワードを知らなくても、盗み出したトークンを悪用することで、システムへ侵入できてしまいます。ご利用のチームは、ご注意ください。なお、M-Files のアドバイザリには、問題を修正したバージョンが記載されておらず、この記事の内容との整合性が確認できませんでした。そのため、調べたところ、M-Files Online のダウンロード・ページで、最新の 25.12.15491.9 が見つかりました。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.