公開日: 2025/02/13  最終更新日: 2025/02/13

ジップインフォブリッジ株式会社からの情報

脆弱性識別番号:JVN#80527854
脆弱性タイトル:ファイルめがねにおける複数の脆弱性
ステータス:該当製品あり

以下の情報は、製品開発者から JVN に提供されたものです。

・概要
ファイルめがねに複数の脆弱性が存在することが判明しました。

・影響を受けるシステム
 - CVE-2025-20075
製品名称     ファイルめがね
該当バージョン  Ver.3.0.0.0からVer.3.4.0.0より前のバージョン

 - CVE-2025-25055
製品名称     ファイルめがね
該当バージョン  ファイルめがね Ver.1.0.0.0からVer.3.4.0.0より前のバージョン

・詳細情報
 - CVE-2025-20075
検索キーワードのサジェスト機能にサーバサイドリクエストフォージェリの脆弱性が存在するため、バックエンドWebAPIへの任意のリクエストが可能です。

 - CVE-2025-25055
検索画面でのWindows認証で、Windows認証後はリクエストのみでログイン処理が完了してしまうため、任意のユーザ情報を設定してユーザを詐称することが可能です。

・想定される影響
 - CVE-2025-20075
任意のバックエンドWebAPIを実行することで、サービスの再起動などが引き起こされる可能性があります。

 - CVE-2025-25055
ユーザ詐称により、本来参照できないファイル内容の参照が可能となります。

・対策方法
ファイルめがねを最新版に更新してください。
最新版の入手方法については、製品購入時に指定されたサポート窓口にお問い合わせください。

・謝辞
この脆弱性情報は、下記の方から JPCERT/CC に報告いただきました。
  GMOサイバーセキュリティ byイエラエ株式会社 安里 眞夢 氏