概要

ソリトンシステムズ株式会社によって開発されたファイル転送ソリューション FileZen に存在する深刻な脆弱性が、認証を受けた攻撃者が影響を受けるシステム上で任意のOSコマンドを実行できる可能性があると報告されています。

詳細情報

CVE-2026-25108 という脆弱性は、特別に作成されたHTTPリクエストを通じてOSコマンドインジェクションを可能にするものです。この脆弱性により、攻撃者はファイルゼンアプリケーションの権限で任意のオペレーティングシステムコマンドを実行し、システム全体への完全なアクセスを得ることが可能です。

影響範囲

• V5.0.0からV5.0.10
• V4.2.1からV4.2.8

これらのバージョンは、アンチウイルスチェックオプションが有効な場合にこの脆弱性を抱えています。

対策とアップデート情報

• Soliton Systems K.K. は、V5.0.11というパッチ版をリリースし、この脆弱性に対処しています。
• 影響を受けている組織は、すぐにアップデートを行うことが強く推奨されています。
• JPCERT/CC は、日本での情報セキュリティ早期警報パートナーシップフレームワークに基づき、この脆弱性に関する協調的な開示を行いました。

監視と対応

組織では、システムログをレビューし、不審な認証パターンや異常なHTTPリクエストがないか確認する必要があります。これらの活動は、攻撃が試みられたり成功した可能性があることを示すかもしれません。

追加情報

JPCERT/CC は、この脆弱性に関する日本組織向けの追加ガイダンスを発行しています。詳細については、JPCERT/CCのウェブサイトをご覧ください。

---

元記事: https://gbhackers.com/filezen-flaw-attackers-execute-commands/