FileZen File Transfer App Vulnerability Enables Arbitrary Command Execution
2026/02/16 CyberSecurityNews — Soliton Systems K.K. のファイル転送ソリューション FileZen に、深刻な脆弱性 CVE-2026-25108 (CVSS v3.0:8.8) が発見された。その原因は、FileZen の処理機構における OS コマンド・インジェクション (CWE-78) にあり、Antivirus Check Option が有効な場合に発生する。この脆弱性の影響が及ぶ範囲において、任意のシステム・コマンド実行が可能となる恐れがある。
この脆弱性を悪用する認証済み攻撃者は、細工された HTTP リクエストを対象となる FileZen インスタンスへ送信し、基盤となる OS 上でのコマンド実行権限を取得できる。
開発元 Soliton Systems K.K. は、この脆弱性を標的とする悪用試行が既に実環境で観測されているとし、パッチ公開前から積極的に悪用されていたことを示唆している。
FileZen File Transfer App 脆弱性
FileZen は、企業間および内部ネットワーク間のデータ交換で広く利用される、ファイルの転送/共有システムである。なお、FileZen S (別バリアント) は影響を受けない。
| CVE ID | CVSS | Description | Affected Versions |
|---|---|---|---|
| CVE-2026-25108 | 8.8 (High) | OS command injection enabling arbitrary execution. | V5.0.0–V5.0.10, V4.2.1–V4.2.8 |
この脆弱性を悪用するログイン済みの攻撃者は、悪意の HTTP リクエストを送信し、昇格した権限で任意の OS レベル・コマンドを実行できる。
悪用に成功した攻撃者は、影響が及ぶアプライアンス上での侵害に至り、ファイルの改竄やネットワーク内での持続的なアクセスの確立が可能となる。
日本の JPCERT/CC が公開したアドバイザリ (JVN#84622767) によると、この脆弱性は企業ネットワークに公開されることの多いファイル転送システムに影響し、データ機密性およびシステムの完全性に対して重大リスクをもたらす。
すでに Soliton Systems は、ファームウェアのアップデートを公開して、この問題に対処している。ユーザーにとって必要なことは、FileZen firmware V5.0.11 以降への速やかなアップグレードである。これにより、OS コマンド・インジェクション・ベクターは無効化される。
Soliton Systems ファイル転送アプライアンス FileZen において、すでに実環境での悪用が確認されている深刻な OSコマンド・インジェクションの脆弱性 CVE-2026-25108 が発見されました。この問題の原因は、FileZen の Antivirus Check Option が有効化されている場合に、外部からの入力を適切に処理できず、OS への命令として実行してしまう不備にあります。これにより、認証を得た攻撃者が特定の HTTP リクエストを送信するだけで、サーバを自在に操作できてしまう状態になっています。なお、パッチ公開前から攻撃試行が観測されているとのことです。ご利用のチームは、ご注意ください。Japan での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.