米当局、ファイル転送製品「FileZen」の脆弱性悪用に注意喚起

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、ソリトンシステムズのファイル転送製品「FileZen」において脆弱性が悪用されているとし、注意喚起を行った。

同庁は現地時間2026年2月24日、「悪用が確認された脆弱性カタログ（KEV）」にOSコマンドインジェクションの脆弱性「CVE-2026-25108」を追加。米国内の行政機関へ対策を促すとともに、製品の利用者に対して注意喚起を行った。

「CVE-2026-25108」は、同製品へのログオン後、細工したHTTPリクエストを送信することで任意のOSコマンドを実行できる脆弱性。ただし、「FileZenウイルスチェックオプション」を有効化している場合にのみ影響を受ける。

共通脆弱性評価システム「CVSSv4.0」のベーススコアは「8.7」、「CVSSv3.0」では「8.8」と評価されている。2026年1月13日にリリースした「同5.0.11（5.0アップデートパック11）」にて同脆弱性は解消されている。

すでに悪用による被害が確認されており、2026年2月13日にはJPCERTコーディネーションセンターからも注意喚起が行われている。

（Security NEXT - 2026/02/25 ） ツイート

PR

関連記事

ワークフローツール「n8n」の脆弱性悪用に注意喚起 - 米CISA
会議ツール「Zoom」Windows向けクライアントに深刻な脆弱性
米当局、「Cisco SD-WAN」攻撃対応の緊急指令を更新
「Chrome 146」が公開 - 「クリティカル」含む29件の脆弱性を修正
SAP、3月の月例パッチを公開 - 「Log4j」起因の脆弱性も
「WordPress 6.9.2」が公開 - 複数の脆弱性を解消
「Firefox」に複数の脆弱性 - セキュリティアップデートを公開
MS、3月の月例パッチを公開 - 脆弱性79件に対処
「Adobe Acrobat/Reader」に複数脆弱性 - アップデートを公開
「Ivanti DSM」に権限昇格の脆弱性 - アップデートで修正