CVE-2025-64712 in Unstructured.io Puts Amazon, Google, and Tech Giants at Risk of Remote Code Execution

新規に公開された重大な脆弱性 CVE-2025-64712 が、Unstructured.io の「unstructured」ETL ライブラリを標的とし、攻撃者が任意のファイル書き込みやリモートコード実行 (RCE) を可能に

Divya 投稿日: 2026年2月13日

概要

CVE-2025-64712（CVSSスコア9.8）は、Unstructured.io の「unstructured」ETL ライブラリに存在する重大な脆弱性です。この脆弱性により、攻撃者は不信任のドキュメントを処理しているシステムで任意のファイル書き込みやリモートコード実行 (RCE) を可能にする可能性があります。

Unstructured.io について

Unstructured.io は、PDF、メール、Word ドキュメント、スライドデッキ、画像などの「非構造化データ」をAIで利用可能なテキストやエンベディングに変換するツールです。このツールは、多くの大企業のシステムで使用されており、そのエコシステムの範囲はしばしばフォーチュン1000社の一部をカバーしています。

脆弱性の詳細

CVE-2025-64712 は、Microsoft Outlook メールメッセージファイル (.msg) の処理パスに存在する経路遍歴バグです。このライブラリが .msg ファイルを処理する際、各添付ファイルを一時ディレクトリに保存しますが、そのパスは安全な制約なしで「元の名前」に基づいて生成されます。

攻撃者は、この脆弱性を利用して、一時ディレクトリ外への書き込みを行う可能性があります。例えば、「../../root/.ssh/authorized_keys」という名前の添付ファイルを用意することで、SSH認証キーを攻撃者が制御する内容に上書きし、永続的なアクセスを得ることができます。

リスクと対策

Unstructured.io は多くのAIアプリケーションで間接的に使用されるため、脆弱性の影響範囲が広い可能性があります。そのため、ファイル処理を隔離されたコンテナや仮想マシンで行い、非rootユーザーとして実行し、パスの正常化とファイル名の許可リストを使用して経路遍歴をブロックすることが推奨されます。

まとめ

CVE-2025-64712 は、多くの大企業が使用するUnstructured.io のライブラリに存在する重大な脆弱性です。この脆弱性により、攻撃者はシステムで任意のファイル書き込みやRCEを可能にする可能性があります。

元記事: https://gbhackers.com/cve-2025-64712-in-unstructured-io/

サイバーニュース.jp

CVE-2025-64712 in Unstructured.io Puts Amazon, Google, and Tech Giants at Risk of Remote Code Execution

新規に公開された重大な脆弱性 CVE-2025-64712 が、Unstructured.io の「unstructured」ETL ライブラリを標的とし、攻撃者が任意のファイル書き込みやリモートコード実行 (RCE) を可能に

概要

Unstructured.io について

脆弱性の詳細

リスクと対策

まとめ

投稿をさらに読み込む

クレジットスコアの良い人向けデートアプリ「Score」が復活

ロケットレポート: Orbexの終焉と中国のロケット回収技術

macOS TahoeのFinderバグがAppleのUIポリッシュの遅れを示す

HPのノートブックサブスクリプションは、HPにとって良い取引ですが、ユーザーにはそうではありません