セキュリティ

SECURITY

公開：2025-03-29

【CVE-2025-2691】nossrfパッケージに深刻なSSRF脆弱性、バージョン1.0.4未満で保護機能のバイパスが可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• nossrf 1.0.4未満のパッケージにSSRF脆弱性が発見
• ローカルまたは予約済みIPアドレス空間へのアクセスが可能
• SSRF保護メカニズムのバイパスが可能に

nossrf 1.0.4未満のバージョンにおけるSSRF脆弱性

Snykは2025年3月23日、nossrfパッケージのバージョン1.0.4未満に深刻なサーバサイドリクエストフォージェリ（SSRF）の脆弱性が存在することを公開した。この脆弱性は【CVE-2025-2691】として識別されており、CVSS 3.1では深刻度「HIGH」の8.2、CVSS 4.0では8.8のスコアが付与されている。^[1]

この脆弱性により、攻撃者はホスト名を提供することでローカルまたは予約済みIPアドレス空間にアクセスし、SSRF保護メカニズムをバイパスすることが可能となっている。CVSSベクトルによると、攻撃は特権や特別なアクセスを必要とせず、ネットワーク経由で実行可能であることが明らかになった。

CISAによる評価では、この脆弱性は実証可能な攻撃コード（PoC）が存在し、自動化された攻撃が可能であることが指摘されている。さらに技術的な影響として、システムに対して部分的な影響を及ぼす可能性があることが確認されており、早急な対応が求められる状況となっている。

nossrfの脆弱性情報まとめ

詳細はこちら

サーバサイドリクエストフォージェリについて

サーバサイドリクエストフォージェリ（SSRF）とは、攻撃者が脆弱なWebアプリケーションを介してサーバーに不正なリクエストを送信させる攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 内部ネットワークやローカルホストへの不正アクセスが可能
• ファイアウォールやセキュリティ設定をバイパス可能
• 内部システムの情報漏洩や不正操作のリスクが存在

nossrfパッケージの脆弱性は、CWE-918（Server-Side Request Forgery）に分類されており、攻撃者がホスト名を操作することでSSRF保護機能を回避できる状態にある。この脆弱性は特権が不要でネットワーク経由での攻撃が可能なため、影響を受けるシステムにおいては早急なバージョンアップデートが推奨される。

nossrfのSSRF脆弱性に関する考察

nossrfパッケージの脆弱性は、SSRF対策を目的としたライブラリ自体に存在するという点で特に深刻である。セキュリティ対策のために導入されたコンポーネントが新たな攻撃ベクトルとなる可能性があり、開発者はライブラリの選定や定期的なセキュリティ評価の重要性を再認識する必要があるだろう。

今後は同様の脆弱性を防ぐため、IPアドレスの検証ロジックの強化やホスト名の解決プロセスの見直しが求められる。特にクラウド環境では、動的なIPアドレス割り当てやコンテナ化された環境での検証が複雑化しており、より堅牢なセキュリティメカニズムの実装が必要となってくるだろう。

また、オープンソースセキュリティの観点から、コミュニティによる継続的なコードレビューと脆弱性診断の重要性が高まっている。今回の事例を教訓に、セキュリティライブラリの開発においては、より厳密な検証プロセスとセキュリティテストの実施が望まれる。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-2691, (参照 25-03-29).
1154

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧