セキュリティ

SECURITY

公開：2025-03-26

【CVE-2025-2125】Control iD RH iD 25.2.25.0にリソース識別子制御の脆弱性、リモートからの攻撃が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Control iD RH iD 25.2.25.0にリソース識別子制御の脆弱性
• PDFドキュメントハンドラーのcompanyIdパラメータに問題
• リモートから悪用可能でCVSSスコアは中程度の深刻度

Control iD RH iD 25.2.25.0の脆弱性問題を公開

2025年3月9日、セキュリティ情報データベースVulDBはControl iD RH iD 25.2.25.0のPDFドキュメントハンドラーにおいて、リソース識別子の不適切な制御に関する脆弱性を発見したことを公開した。この脆弱性は/v2/report.svc/comprovante_marcacao/?companyId=1のファイルに存在し、nsrパラメータの操作によってリソース識別子の制御が不適切になる可能性が指摘されている。^[1]

CVSSスコアはバージョン4.0で5.3、バージョン3.1および3.0で4.3と評価され、いずれも中程度の深刻度となっている。攻撃者はリモートからこの脆弱性を悪用することが可能であり、攻撃の複雑さは低いとされているが、攻撃には一定の特権レベルが必要となることが確認されている。

VulDBは本脆弱性についてベンダーに早期に連絡を試みたが、ベンダーからの応答は得られていない状態が続いている。CWE（共通脆弱性タイプ一覧）では、この問題はCWE-99（リソース識別子の不適切な制御）に分類されており、情報セキュリティの観点から適切な対応が求められる状況となっている。

Control iD RH iD 25.2.25.0の脆弱性詳細

リソース識別子の不適切な制御について

リソース識別子の不適切な制御とは、アプリケーションがユーザー入力を適切に検証せずにリソースの識別や参照に使用することで発生する脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• ユーザーが意図しないリソースへのアクセスが可能になる
• 権限のないリソースへのアクセスにつながる可能性がある
• 情報漏洩やシステムの整合性の低下を引き起こす

Control iD RH iD 25.2.25.0の事例では、PDFドキュメントハンドラーのcompanyIdパラメータにおいてこの脆弱性が確認されている。nsrパラメータの操作により、本来アクセスできないはずのリソースへのアクセスが可能になる可能性があり、システムのセキュリティリスクとなっている。

Control iD RH iD 25.2.25.0の脆弱性に関する考察

Control iD RH iD 25.2.25.0の脆弱性は、PDFドキュメント処理における基本的なセキュリティ対策の不備を示している点で重要な問題となっている。特にリソース識別子の制御は基本的なセキュリティ要件であり、この部分に脆弱性が存在することは、開発プロセスにおけるセキュリティレビューの強化が必要であることを示唆している。

この脆弱性への対応が遅れることで、攻撃者による不正アクセスのリスクが継続することが懸念される。ベンダーの早急な対応と、ユーザー側での一時的な対策の実施が重要となるが、現状ではベンダーからの応答が得られていないことが問題をより深刻にしている。

今後は同様の脆弱性を防ぐため、開発段階でのセキュリティテストの強化やコードレビューの徹底が求められる。特にPDFドキュメント処理のような一般的な機能においても、入力値の検証やアクセス制御の実装を慎重に行う必要があるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-2125, (参照 25-03-26).
1850

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧