1. HOME
  2. ブログ
  3. 編集部
  4. IPAが2件の脆弱性注意喚起

IPAが2件の脆弱性注意喚起

編集部

独立行政法人情報処理推進機構(IPA)は、NetScaler ADC/NetScaler Gatewayおよび資産管理ツール「SS1」に関する2件の脆弱性情報を公表した。NetScaler関連は2025年8月27日に公開・最終更新、SS1関連は2025年8月28日に最終更新されている。

NetScaler ADC/Gateway:RCE・DoSに至る複数脆弱性

概要

NetScaler ADC(旧Citrix ADC)およびNetScaler Gateway(旧Citrix Gateway)に、任意コード実行(RCE)やサービス運用妨害(DoS)に至る複数の脆弱性が確認されている。実際の攻撃も確認されており、早急なアップデートが求められる。対象CVEはCVE-2025-7775/-7776/-8424である。

影響範囲

  • 14.1系:14.1-47.48より前のバージョン
  • 13.1系:13.1-59.22より前のバージョン
  • 13.1-FIPS:13.1-37.241より前のバージョン
  • 12.1-FIPS:12.1-55.330より前のバージョン
  • 13.1-NDcPP:13.1-37.241より前のバージョン
  • 12.1-NDcPP:12.1-55.330より前のバージョン

対策

開発者が提供する修正を適用する。修正済み最小バージョンは以下のとおり。

  • 14.1系:14.1-47.48以降のバージョン
  • 13.1系:13.1-59.22以降のバージョン
  • 13.1-FIPS:13.1-37.241以降のバージョン
  • 12.1-FIPS:12.1-55.330以降のバージョン
  • 13.1-NDcPP:13.1-37.241以降のバージョン
  • 12.1-NDcPP:12.1-55.330以降のバージョン
    なお、12.1および13.0はEOLである旨の注記がある。

SS1(ディー・オー・エス):多数の脆弱性と高いCVSS

概要

株式会社ディー・オー・エスが提供する資産管理ツール「SS1」に、以下を含む複数の脆弱性が存在する。

  • 不十分な暗号強度(CVE-2025-46409)
  • 外部からアクセス可能なファイル/ディレクトリ(CVE-2025-52460)
  • 重要リソースへの不適切なアクセス権割当(CVE-2025-53396)
  • ファイルアップロード検証不備(CVE-2025-53970、CVE-2025-54762)
  • パス・トラバーサル(CVE-2025-54819、CVE-2025-58072)
  • ハードコードされたパスワードの使用(CVE-2025-58081)

想定される影響として、認証が必要な機能への不正アクセス、アップロードファイルや構成ファイルへのアクセス、正規ファイルの上書き、任意ファイル閲覧、root権限での閲覧等が挙げられる。さらにクライアント端末にログイン可能なユーザーによるroot権限昇格や、SYSTEM権限での任意OSコマンド実行に至る可能性がある。

CVSS v3(深刻度/基本値)

  • (CVSS v3基本値)緊急:(CVSS v3深刻度)9.8:CVE-2025-53970、CVE-2025-54762
  • (CVSS v3基本値)重要:(CVSS v3深刻度)7.5:CVE-2025-46409、CVE-2025-58072、CVE-2025-58081
  • (CVSS v3基本値)重要:(CVSS v3深刻度)7.0:CVE-2025-53396
  • (CVSS v3基本値)警告:(CVSS v3深刻度)6.5:CVE-2025-54819
  • (CVSS v3基本値)警告:(CVSS v3深刻度)5.3:CVE-2025-52460

影響を受ける製品

  • SS1 Ver.16.0.0.10 以前(メディアバージョン:16.0.0a 以前)
  • SS1 クラウド Ver.2.1.3 以前
    注記:CVE-2025-52460、-53970、-54762はWindowsのみ、CVE-2025-53396、-58072、-58081はMacOSのみが影響を受けるとされる。

対策

最新版へのアップデートを実施する。詳細は開発者の提供情報を参照のこと。なお、本件はIPAが届出を受け、JPCERT/CCが開発者と調整を行った案件である。

共通の留意点(両リリースの記載範囲)

  • いずれも「最新版へのアップデート」を最優先とする。NetScalerは攻撃確認済みのため早急な適用が推奨される。
  • 参考情報の確認:NetScalerは開発元のセキュリティ情報(CVE-2025-7775等のSB)が示されている。SS1は開発者のお知らせやJVN(JVN#99577552)の参照が案内されている。

出典:
NetScaler ADCおよびNetScaler Gatewayの脆弱性について (CVE-2025-7775等)
「SS1」における複数の脆弱性について(JVN#99577552)

関連記事

人気コーナー「サイバーセキュリティー四方山話」が電子書籍で登場!!