セキュリティ

SECURITY

公開：2025-04-03

【CVE-2025-0189】aimhubio/aim 3.25.0にDoS脆弱性、WebSocketメッセージサイズ制限の無効化による深刻な影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• aimhubio/aim 3.25.0にDoS脆弱性が発見
• WebSocketメッセージの最大サイズ制限が無効化される問題
• 大容量画像処理時にサーバーが応答不能に

aimhubio/aim 3.25.0のDoS脆弱性

Protect AIは2025年3月20日、機械学習実験追跡ツールaimhubio/aim 3.25.0にサービス拒否攻撃の脆弱性が存在することを公開した。この脆弱性はWebSocketメッセージの最大サイズ制限が無効化されることで、大容量の画像データを追跡可能な状態となっている。【CVE-2025-0189】として識別されるこの脆弱性は、CVSSスコア7.5の深刻度「HIGH」と評価された。^[1]

脆弱性が存在するトラッキングサーバーでは、大容量画像の処理中に他のリクエストへの応答が不能となるサービス拒否状態に陥ることが判明した。この問題はCWE-400（制御されていないリソース消費）に分類され、攻撃者は特別な権限や認証なしに遠隔から攻撃を実行できる状態となっている。

huntrの報告によると、この脆弱性は最新バージョンまで影響を及ぼしており、早急な対策が必要とされている。CISAによる評価では、自動化された攻撃が可能であり、システムに部分的な影響を与える可能性があることが指摘されている。

aimhubio/aim 3.25.0の脆弱性詳細

サービス拒否攻撃について

サービス拒否攻撃（DoS）とは、システムのリソースを過剰に消費させることでサービスの提供を妨害する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 大量のリクエストやデータでシステムに負荷をかける
• 正規ユーザーのサービス利用を妨害する
• システムの可用性を著しく低下させる

サービス拒否攻撃は、WebSocketメッセージサイズの制限を無効化することで大容量データの送信を可能にし、サーバーのリソースを枯渇させる手法が知られている。aimhubio/aimの脆弱性では、画像データの処理中にサーバーが他のリクエストに応答できなくなる深刻な問題が確認されており、早急な対策が求められている。

aimhubio/aim 3.25.0の脆弱性に関する考察

WebSocketメッセージの最大サイズ制限が無効化される設計上の問題は、機械学習実験の追跡という本来の機能を阻害する重大な脆弱性となっている。攻撃者が認証なしで遠隔から攻撃可能な状態は、システムの可用性に対する大きな脅威となっており、早急なセキュリティパッチの適用が望まれる。

今後の対策としては、WebSocketメッセージサイズの適切な制限設定に加え、リソース使用量の監視機能の実装が重要となるだろう。また、大容量データ処理時の負荷分散メカニズムやキューイングシステムの導入により、サービス全体の可用性を確保することが期待される。

機械学習実験の追跡ツールとしての信頼性を維持するためには、セキュリティ機能の強化が不可欠である。特に画像データの処理に関して、サイズやリソース使用量の制限を適切に設定し、DoS攻撃に対する耐性を高めることが今後の課題となるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-0189, (参照 25-04-03).
1226

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧