セキュリティ

SECURITY

公開：2025-04-26

【CVE-2025-3378】PCMan FTP Server 2.0.7にバッファオーバーフロー脆弱性、リモート攻撃のリスクで緊急対応が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• PCMan FTP Server 2.0.7にバッファオーバーフロー脆弱性
• EPRT Command Handlerの不具合でリモート攻撃が可能
• CVSSスコアは最大7.5で深刻度は高い

PCMan FTP Server 2.0.7のバッファオーバーフロー脆弱性

2025年4月7日、PCMan FTP Server 2.0.7においてEPRT Command Handlerコンポーネントに重大な脆弱性が発見された。この脆弱性はバッファオーバーフローを引き起こすもので、リモートから攻撃を実行できる可能性があることが明らかになっている。既に攻撃手法が一般に公開されており、早急な対応が必要な状況となっている。^[1]

脆弱性の深刻度はCVSS v4.0で6.9（MEDIUM）、CVSS v3.1とv3.0で7.3（HIGH）、CVSS v2.0で7.5と評価されており、バージョン2.0.7が影響を受けることが確認されている。攻撃者は特別な権限や認証なしにリモートから攻撃を実行でき、機密性、整合性、可用性のすべてに影響を与える可能性がある。

この脆弱性はCWE-120（バッファオーバーフロー）およびCWE-119（メモリ破損）に分類されており、Fernando Mengali氏によって報告された。VulDBのデータベースではVDB-303624として登録されており、攻撃コードも既に公開されている状態だ。

PCMan FTP Server 2.0.7の脆弱性詳細

バッファオーバーフローについて

バッファオーバーフローとは、プログラムが確保したメモリ領域（バッファ）の境界を超えてデータを書き込んでしまう脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• プログラムのクラッシュや意図しない動作を引き起こす可能性がある
• 攻撃者による任意のコード実行につながる危険性がある
• C言語などのメモリ管理を手動で行う言語で特に発生しやすい

PCMan FTP Server 2.0.7で発見されたバッファオーバーフローの脆弱性は、EPRT Commandの処理時に発生するものだ。この種の脆弱性は、入力値の検証が不十分な場合に発生し、システムのセキュリティを著しく低下させる可能性がある。

PCMan FTP Serverの脆弱性に関する考察

PCMan FTP Serverの脆弱性が公開されたことで、早急なアップデートや代替ソフトウェアへの移行が必要となっている。特にこの脆弱性は攻撃コードが公開されており、権限昇格や情報漏洩などの深刻な被害につながる可能性があるため、システム管理者は直ちに対策を講じる必要があるだろう。

FTPサーバソフトウェアのセキュリティ管理は、組織全体のセキュリティに大きな影響を与える重要な要素となっている。今後は脆弱性の早期発見と修正、セキュアなコーディング実践の徹底など、開発段階からのセキュリティ対策が一層重要になってくるだろう。

また、オープンソースソフトウェアのセキュリティ管理体制の強化も課題となっている。コミュニティベースの開発においても、定期的なセキュリティ監査やバグバウンティプログラムの導入など、より組織的なアプローチが求められる。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-3378」. https://www.cve.org/CVERecord?id=CVE-2025-3378, (参照 25-04-26).
1679

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧