ジップインフォブリッジ株式会社からの情報
脆弱性識別番号:JVN#80527854
脆弱性タイトル:ファイルめがねにおける複数の脆弱性
ステータス:該当製品あり
以下の情報は、製品開発者から JVN に提供されたものです。
・概要
ファイルめがねに複数の脆弱性が存在することが判明しました。
・影響を受けるシステム
- CVE-2025-20075
製品名称 ファイルめがね
該当バージョン Ver.3.0.0.0からVer.3.4.0.0より前のバージョン
- CVE-2025-25055
製品名称 ファイルめがね
該当バージョン ファイルめがね Ver.1.0.0.0からVer.3.4.0.0より前のバージョン
・詳細情報
- CVE-2025-20075
検索キーワードのサジェスト機能にサーバサイドリクエストフォージェリの脆弱性が存在するため、バックエンドWebAPIへの任意のリクエストが可能です。
- CVE-2025-25055
検索画面でのWindows認証で、Windows認証後はリクエストのみでログイン処理が完了してしまうため、任意のユーザ情報を設定してユーザを詐称することが可能です。
・想定される影響
- CVE-2025-20075
任意のバックエンドWebAPIを実行することで、サービスの再起動などが引き起こされる可能性があります。
- CVE-2025-25055
ユーザ詐称により、本来参照できないファイル内容の参照が可能となります。
・対策方法
ファイルめがねを最新版に更新してください。
最新版の入手方法については、製品購入時に指定されたサポート窓口にお問い合わせください。
・謝辞
この脆弱性情報は、下記の方から JPCERT/CC に報告いただきました。
GMOサイバーセキュリティ byイエラエ株式会社 安里 眞夢 氏
