セキュリティ

SECURITY

公開：2025-05-01

【CVE-2025-29460】MyBB 1.8.38のAdd Mycode機能に深刻な脆弱性、機密情報漏洩のリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• MyBB 1.8.38にAdd Mycode機能の脆弱性が発見
• 機密情報漏洩のリスクが指摘される
• CVE-2025-29460として特定される重大な脆弱性

MyBB 1.8.38におけるAdd Mycode機能の脆弱性

2025年4月17日、MyBB 1.8.38のAdd Mycode機能において、リモート攻撃者が機密情報を取得可能な脆弱性が発見された。この脆弱性はCVE-2025-29460として識別され、CISAによって高リスクの脆弱性として評価されている。^[1]

CVSSスコアは7.6（High）と評価され、攻撃者は低い特権レベルでネットワークを介して攻撃を実行することが可能である。この脆弱性はServer-Side Request Forgery（SSRF）として分類され、システムのセキュリティに重大な影響を及ぼす可能性がある。

開発元は本脆弱性について、管理者の許可された操作の範囲内であることとSSRF対策が実施されていることを理由に異議を唱えている。しかし、CISAは引き続き本脆弱性を監視し、対策の必要性を呼びかけている。

MyBB 1.8.38の脆弱性詳細

Server-Side Request Forgeryについて

Server-Side Request Forgery（SSRF）とは、攻撃者が脆弱なアプリケーションを介して内部ネットワークやローカルシステムにアクセスを試みる攻撃手法のことを指す。主な特徴として以下のような点が挙げられる。

• 内部システムへの不正アクセスが可能になる重大な脆弱性
• クラウド環境での影響が特に深刻になる可能性がある
• 機密情報の漏洩やシステム全体の侵害につながる恐れがある

MyBB 1.8.38で発見されたSSRF脆弱性は、Add Mycode機能を通じて攻撃者が内部システムにアクセスできる可能性がある。この脆弱性は管理者権限を必要とするものの、一度悪用されると重大な被害につながる可能性があるため、早急な対策が推奨される。

MyBB 1.8.38の脆弱性に関する考察

MyBB 1.8.38の脆弱性は、開発元とセキュリティ研究者の間で評価が分かれている点が特徴的である。開発元は既存のSSRF対策と管理者権限の要件を根拠に深刻度を低く見積もっているが、CISAによる高いCVSSスコアは無視できない重要性を示している。

今後の課題として、管理者権限を持つアカウントが侵害された場合のリスク軽減策の検討が必要となるだろう。特に大規模なコミュニティサイトでは、複数の管理者アカウントが存在することが多く、アカウント管理の厳格化やアクセス権限の細分化が求められる。

MyBBコミュニティには、この脆弱性の修正と共に、より包括的なセキュリティフレームワークの導入が期待される。特に権限管理システムの強化とSSRF対策の再検討は、今後のバージョンアップで重点的に取り組むべき課題となるだろう。

参考サイト

1. ^ CVE. 「CVE-2025-29460」. https://www.cve.org/CVERecord?id=CVE-2025-29460, (参照 25-05-01).
1116

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧