セキュリティ

SECURITY

公開：2025-02-13

【CVE-2025-21107】Dell NetWorker全バージョンに深刻な脆弱性、コード実行の危険性で早急な対応が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Dell NetWorkerの重大な脆弱性が発見
• バージョン19.11.0.3未満のシステムが影響を受ける
• コード実行につながる可能性のある脆弱性

Dell NetWorker 19.11.0.3未満のバージョンに脆弱性

Dell EMCは2025年1月30日、Dell NetWorkerの複数バージョンにUnquoted Search Path or Element脆弱性が存在することを公表した。この脆弱性は【CVE-2025-21107】として識別されており、19.11.0.3より前のバージョン、19.10の全バージョン、およびそれ以前のバージョンに影響を与えることが判明している。^[1]

この脆弱性は、CVSSスコアが7.8と高い深刻度に分類されており、ローカルアクセス権を持つ攻撃者によって悪用される可能性がある。攻撃者は特権昇格を必要とせず、コード実行の可能性があることから、早急な対応が求められている。

Dell EMCは対策として、Dell NetWorkerを最新のバージョン19.11.0.3にアップデートすることを推奨している。この脆弱性はCWE-428に分類され、システムのセキュリティに重大な影響を及ぼす可能性があるため、システム管理者は速やかなアップデートの適用を検討する必要がある。

Dell NetWorkerの脆弱性の影響範囲まとめ

脆弱性の詳細はこちら

Unquoted Search Path or Elementについて

Unquoted Search Path or Elementとは、システム上のパスやファイル名の処理に関する脆弱性の一種で、主な特徴として以下のような点が挙げられる。

• パスにスペースが含まれる場合に発生する特権昇格の可能性
• システムコマンドの実行時に意図しないコードが実行される危険性
• ローカル権限を持つ攻撃者による悪用の可能性

この脆弱性はWindows環境で特に深刻な問題となり、CVE-2025-21107として報告されたDell NetWorkerの事例では、攻撃者がローカルアクセス権を持っている場合に悪用される可能性がある。Dell EMCは対策として最新バージョンへのアップデートを提供しており、システム管理者は速やかな対応が求められている。

Dell NetWorkerの脆弱性対応に関する考察

Dell NetWorkerの脆弱性対応において、最も評価できる点は脆弱性が発見された直後に迅速なセキュリティアップデートを提供したことである。特にCVSSスコアが7.8と高い深刻度に分類される脆弱性に対して、明確な対応策を示したことは、ユーザーのセキュリティリスク軽減に大きく貢献している。

今後の課題として、バージョン管理の複雑さが挙げられる。複数のバージョンが並行して存在する状況では、脆弱性対応の遅延や見落としが発生する可能性があり、統一的なバージョン管理システムの構築が必要となるだろう。セキュリティアップデートの自動適用機能の強化も検討に値する。

また、今後はより積極的な脆弱性スキャンと早期発見の仕組みを構築することが望まれる。特にローカル権限で悪用可能な脆弱性は、内部からの攻撃リスクを高める要因となるため、定期的なセキュリティ監査とパッチ管理の自動化が重要になってくるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-21107, (参照 25-02-13).
2. Dell. https://www.dell.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧