重要な脆弱性情報 1. 脆弱性の詳細 影響メーカー: Xorux 影響製品: XorMon-NG 影響バージョン: 1.0 以前 CVE ID: CVE-2025-5476 CWE 分類: CWE-648: 特権 API の不適切な使用 2. 脆弱性の概要 Web アプリケーションの管理者のみがアクセスできるはずの API エンドポイントが、通常の読み取り専用ユーザーがアクセス可能な場所に配置されています。このエンドポイントを使用すると、機密情報を露呈させる可能性のあるデバイス構成をエクスポートできます。 3. 技術的概要 読み取り専用ユーザーは、未文書化の Web アプリケーションエンドポイントを通じてデバイスエクスポート機能にアクセスできます。この機能により、すべてのユーザーのパスワードハッシュとクラウド認証情報を平文で含むファイルがエクスポートされます。攻撃者はこの脆弱性を利用してパスワードハッシュ(管理者ユーザーのものを含む)を取得し、解析を試みることができます。さらに、攻撃者はこの脆弱性を利用してクラウドインフラストラクチャにもアクセスできます。 4. 緩和策および修正アドバイス Xorux はこの脆弱性の修正を含んだバージョン 1.9.3b をリリースしました。詳細は以下を参照してください:https://xorux.com/note108.php 5. 謝辞 本脆弱性は、KoreLogic, Inc. の Jin Becher によって発見されました。 6. 開示タイムライン 2025-07-17: KoreLogic が複数の脆弱性の安全な報告のため Xorux への連絡を要求。 2025-07-18: メーカーがサポート担当者を提示したものの、PGP は使用されなかった。 2025-07-21: KoreLogic が本脆弱性および他の 4 つの脆弱性の詳細を送信。 2025-07-23: メーカーがレポートの受信を確認し、問題が修正済みであることを伝え、新バージョンが 2025-07-25 にリリースされる予定であることを発表。 2025-07-25: Xorux が影響を受ける製品の更新版をリリース。 2025-07-28: KoreLogic が本脆弱性の公衆開示を実施。 7. 概念実証 (PoC) 脆弱性のテストに使用するための curl および gpg コマンドの例が提供されています。