米当局、ファイル転送製品「FileZen」の脆弱性悪用に注意喚起

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、ソリトンシステムズのファイル転送製品「FileZen」において脆弱性が悪用されているとし、注意喚起を行った。

同庁は現地時間2026年2月24日、「悪用が確認された脆弱性カタログ（KEV）」にOSコマンドインジェクションの脆弱性「CVE-2026-25108」を追加。米国内の行政機関へ対策を促すとともに、製品の利用者に対して注意喚起を行った。

「CVE-2026-25108」は、同製品へのログオン後、細工したHTTPリクエストを送信することで任意のOSコマンドを実行できる脆弱性。ただし、「FileZenウイルスチェックオプション」を有効化している場合にのみ影響を受ける。

共通脆弱性評価システム「CVSSv4.0」のベーススコアは「8.7」、「CVSSv3.0」では「8.8」と評価されている。2026年1月13日にリリースした「同5.0.11（5.0アップデートパック11）」にて同脆弱性は解消されている。

すでに悪用による被害が確認されており、2026年2月13日にはJPCERTコーディネーションセンターからも注意喚起が行われている。

（Security NEXT - 2026/02/25 ） ツイート

PR

関連記事

「PAN-OS」の認証回避脆弱性、詳細公開で悪用懸念高まる
HPのLinux向け印刷ソフトに深刻な脆弱性 - アップデートを呼びかけ
「Unbound」に深刻な脆弱性 - コード実行やキャッシュ汚染などのおそれ
PHP向けテンプレートエンジン「Twig」にRCE脆弱性
米当局、「Langflow」や「Apex One」の脆弱性悪用に注意喚起
Android版「ロボフォーム」に脆弱性 - 意図しないファイルDLのおそれ
米当局、脆弱性悪用確認リストに7件追加 - IEなど旧製品関連も
「Microsoft Defender」に権限昇格やDoS脆弱性 - 悪用を確認
「TrendAI Apex One」に複数脆弱性 - 一部はすでに悪用
「BIND 9」に複数の脆弱性、すみやかな更新を強く推奨