セキュリティ

SECURITY

公開：2025-04-18

【CVE-2025-2954】OpenManusにアクセス制御の脆弱性が発見、ベンダーの対応に遅れ

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• mannaandpoemのOpenManusに脆弱性が発見される
• アクセス制御の不適切な実装による問題が存在
• 2025.3.13までのバージョンが影響を受ける

OpenManus 2025.3.13のアクセス制御脆弱性

mannaandpoemは、OpenManusのFile Handlerコンポーネントにおいて、file_saver.pyファイルのexecute機能に関連するアクセス制御の脆弱性が発見されたことを2025年3月30日に公開した。この脆弱性は2025.3.13までのバージョンに影響を与えており、ローカルアクセスによって不適切なアクセス制御の問題が発生する可能性がある。^[1]

この脆弱性に関する情報は既に公開されており、攻撃コードが利用可能な状態となっているため、早急な対応が必要とされている。NVDによる評価では、CVSSv4.0のスコアが4.8（MEDIUM）、CVSSv3.1とv3.0のスコアが3.3（LOW）となっており、特権の誤った割り当てによるセキュリティ上の問題が指摘されている。

報告者であるVulDBユーザーのs0l42氏からベンダーに対して早期に情報が開示されたものの、ベンダーからの応答は得られていない状況が続いている。CWE-284（不適切なアクセス制御）とCWE-266（誤った特権割り当て）に分類されるこの脆弱性は、深刻な影響をもたらす可能性がある。

OpenManus脆弱性の影響範囲

アクセス制御について

アクセス制御とは、システムやリソースへのアクセスを管理・制限するためのセキュリティメカニズムのことを指す。主な特徴として、以下のような点が挙げられる。

• ユーザーの認証と権限の確認による安全性の確保
• システムリソースへのアクセス制限と保護
• 特権操作の適切な管理と制御

OpenManusの事例では、file_saver.pyのexecute機能におけるアクセス制御の実装が不適切であることが問題となっている。特権の誤った割り当てにより、本来アクセスできないはずのリソースや機能に対して、権限のないユーザーがアクセスできてしまう可能性があるため、早急な対応が求められる状況となっている。

OpenManus脆弱性に関する考察

OpenManusの脆弱性が報告されてから既に公開されているにもかかわらず、ベンダーからの応答がない状況は深刻な問題として捉える必要がある。特にアクセス制御の脆弱性は、システム全体のセキュリティを危険にさらす可能性があり、早急な対応が求められるにもかかわらず、適切な対応がなされていない点は大きな懸念材料となっている。

今後の対策として、ベンダー側でのセキュリティ体制の強化と、脆弱性報告に対する迅速な対応体制の構築が不可欠である。特に影響を受けるバージョンが多岐にわたることから、パッチの適用やバージョンアップの手順を明確にし、ユーザーへの適切な情報提供を行うことが重要となるだろう。

OpenManusのような重要なソフトウェアにおいては、継続的なセキュリティ監査と脆弱性管理の仕組みを確立することが求められる。セキュリティ研究者との協力関係を築き、脆弱性の早期発見と対応を可能にする体制づくりが、今後のセキュリティ品質向上には欠かせないものとなっている。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-2954」. https://www.cve.org/CVERecord?id=CVE-2025-2954, (参照 25-04-18).
2252

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧