セキュリティ

SECURITY

公開：2025-04-30

【CVE-2025-43928】Infodraw Media Relay Service 7.1.0.0にパストラバーサルの脆弱性、管理者認証情報漏洩のリスク

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Infodraw Media Relay Service 7.1.0.0にパストラバーサルの脆弱性
• ユーザー名フィールドで任意のファイル読み取りが可能
• 管理者認証情報が平文やMD5ハッシュで露出する可能性

Infodraw Media Relay Service 7.1.0.0のパストラバーサルの脆弱性

MITREは2025年4月20日、Infodraw Media Relay Service (MRS) 7.1.0.0のMRSウェブサーバー（ポート12654）においてパストラバーサル脆弱性を発見したことを公開した。この脆弱性はユーザー名フィールドにおける「../」ディレクトリトラバーサルにより、任意のファイルの読み取りを可能にするものだ。^[1]

この脆弱性により、攻撃者はServerParameters.xmlファイルにアクセスし管理者認証情報を取得できる可能性がある。認証情報は平文またはMD5ハッシュ形式で保存されており、情報漏洩のリスクが深刻な状況となっている。

本脆弱性は【CVE-2025-43928】として識別されており、CVSSスコアは5.8（MEDIUM）と評価されている。攻撃元区分はネットワークであり、攻撃条件の複雑さは低く、特権は不要だが、影響範囲が変更される可能性があると分析されている。

CVE-2025-43928の詳細情報まとめ

パストラバーサルについて

パストラバーサルとは、Webアプリケーションにおけるセキュリティ上の脆弱性の一つで、攻撃者が意図しないディレクトリやファイルにアクセスできてしまう問題のことを指す。主な特徴として、以下のような点が挙げられる。

• 「../」などの特殊文字列を使用して上位ディレクトリに移動可能
• 重要な設定ファイルや機密情報への不正アクセスが可能
• システム全体のセキュリティを脅かす深刻な脆弱性

Infodraw Media Relay Serviceの事例では、ユーザー名フィールドを介したパストラバーサル攻撃により、ServerParameters.xmlファイルにアクセスされる危険性がある。このファイルには管理者の認証情報が平文やMD5ハッシュ形式で保存されており、情報漏洩のリスクが極めて高い状況となっている。

Infodraw Media Relay Serviceの脆弱性に関する考察

パストラバーサル脆弱性の存在は、入力値の検証が不十分であることを示しており、基本的なセキュリティ対策の見直しが必要不可欠だ。特にユーザー名フィールドという基本的な入力欄に脆弱性が存在することは、同様の問題が他の入力フィールドにも存在する可能性を示唆している。

また、管理者認証情報を平文やMD5ハッシュで保存している点も大きな問題となっている。現代のセキュリティ標準からすると、より強力なハッシュアルゴリズムの採用や、ソルトの追加などの対策が必要不可欠だ。今後のアップデートでは、これらの基本的なセキュリティ対策の強化が期待される。

今後の対策としては、入力値の厳格なバリデーション実装や、重要な設定ファイルのアクセス制御強化が求められる。さらに、認証情報の暗号化方式を現代的なものに更新し、定期的なセキュリティ監査の実施も検討すべきだろう。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-43928」. https://www.cve.org/CVERecord?id=CVE-2025-43928, (参照 25-04-30).
1176

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧