重要な脆弱性情報 CVE-2025-35113: EUI テンプレートインジェクションによるリモートコード実行 対象バージョン: Agiloft Release 19 ~ Release 28 修正バージョン: Release 31 リスクの文脈: この問題は、管理アクセス権限を有し、EUI テンプレートのインポートや編集が可能なユーザーのみが悪用できます。RBAC(ロールベースのアクセス制御)により、暴露範囲が大幅に制限されています。 緩和策: Release 31 では、テンプレートを通じた不正なコード実行を防止するセキュリティ対策が組み込まれており、この問題は完全に解決されています。 CVE-2025-35114: インポート機能における XML 外部エンティティ(XXE)脆弱性 対象バージョン: Agiloft Release 19 ~ Release 28 修正バージョン: Release 31 リスクの文脈: 悪用にはインポート機能へのアクセスが必要ですが、これは RBAC によって管理者ユーザーのみに制限されています。これにより、不正アクセスのリスクが大幅に減少します。 緩和策: この脆弱性は Release 31 で完全に解決されました。オンプレミス環境の全顧客に対し、このバージョンへのアップグレードを推奨します。 CVE-2025-35115: オンプレミスインストールにおけるデフォルトおよびバックドア資格情報のリスク 対象バージョン: Agiloft Release 19 ~ Release 29 修正バージョン: Release 30 リスクの文脈: オンプレミス環境でのインストール時の設定ミスにより、デフォルトの資格情報を使用してユーザーアカウントが作成される場合があります。これらの資格情報を変更しなかった場合、攻撃者はこれらの資格情報を直接悪用するか、オフラインでのブルートフォース攻撃に成功することで特権を昇格させる可能性があります。 緩和策: Release 30 以降、アカウント管理を強化することで、デフォルトまたは未文書化の資格情報を持つアカウントの作成を防止しています。 CVE-2025-35116: オンプレミスインストールにおける不安全なパッケージのダウンロード 対象バージョン: Agiloft Release 19 ~ Release 29 修正バージョン: Release 30 リスクの文脈: Agiloft インストーラーが公式以外のソースから取得された場合、または安全でない・信頼できないネットワーク上でインストールが行われた場合、悪意のある行為者がダウンロードされたコンポーネントを改竄する可能性のある期間が存在します。 緩和策: Release 30 以降、すべての必要なパッケージは、現代の整合性検証方法を用いて、検証済みソースから安全なチャネルを通じてダウンロードされるようになりました。