Japan

サイト内の現在位置

CLUSTERPRO XにおけるOSコマンドインジェクションの脆弱性

掲載番号:NV25-006
脆弱性情報識別番号:CVE-2025-11546

概要

CLUSTERPRO Xには、OSコマンドインジェクションの脆弱性(CVE-2025-11546)が存在します。攻撃者が当該製品に細⼯したネットワークパケットを送信した場合、認証無しで任意のOSコマンドを実⾏される可能性があります。

対象製品

CLUSTERPRO X

対象となる製品のバージョン

CLUSTERPRO X 4.0 for Linux
CLUSTERPRO X 4.1 for Linux
CLUSTERPRO X 4.2 for Linux
CLUSTERPRO X 4.3 for Linux
CLUSTERPRO X 5.0 for Linux
CLUSTERPRO X 5.1 for Linux
CLUSTERPRO X 5.2 for Linux

CLUSTERPRO X SingleServerSafe 4.0 for Linux
CLUSTERPRO X SingleServerSafe 4.1 for Linux
CLUSTERPRO X SingleServerSafe 4.2 for Linux
CLUSTERPRO X SingleServerSafe 4.3 for Linux
CLUSTERPRO X SingleServerSafe 5.0 for Linux
CLUSTERPRO X SingleServerSafe 5.1 for Linux
CLUSTERPRO X SingleServerSafe 5.2 for Linux

対処方法

第三者によって細工されたネットワークパケットを受信する可能性のあるシステムについては、アップデート、修正パッチ、または回避策の適用を実施してください。
 
- アップデート、または修正パッチについて
 - CLUSTERPRO X 4.0 for Linux ~ CLUSTERPRO X 4.3 for Linux の場合
  CLUSTERPRO X 4.3 for Linux (内部バージョン 4.3.4-1) にアップデートし、修正モジュールを適用ください。
   - [CLUSTERPRO X 4.0/4.1/4.2/4.3 for Linux アップデート CPRO-XL070-12] (https://www.support.nec.co.jp/View.aspx?id=9010110492)
   - [CLUSTERPRO X 4.3 for Linux 追加アップデート] (https://www.support.nec.co.jp/View.aspx?id=3010103892)
 
 - CLUSTERPRO X 5.0 for Linux ~ CLUSTERPRO X 5.2 for Linux の場合
  - CLUSTERPRO X 5.3 for Linux (内部バージョン 5.3.0-1) 以降にアップデートしてください。
   - [CLUSTERPRO X 5.3 for Linux アップデートリリース CPRO-XL080-10 (内部バージョン 5.3.1-1)] (https://www.support.nec.co.jp/View.aspx?id=9010111978)
 
 - CLUSTERPRO X SingleServerSafe 4.0 for Linux ~ CLUSTERPRO X SingleServerSafe 4.3 for Linux の場合
  - CLUSTERPRO X 4.3 for Linux (内部バージョン 4.3.4-1) にアップデートし、修正モジュールを適用ください。
   - [CLUSTERPRO X SingleServerSafe 4.0/4.1/4.2/4.3 for Linux アップデート CPRO-XL440-12] (https://www.support.nec.co.jp/View.aspx?id=9010110493)
   - [CLUSTERPRO X SingleServerSafe 4.3 for Linux 追加アップデート] (https://www.support.nec.co.jp/View.aspx?id=3140109396)
 
 - CLUSTERPRO X SingleServerSafe 5.0 for Linux ~ CLUSTERPRO X SingleServerSafe 5.2 for Linux の場合
  - CLUSTERPRO X SingleServerSafe 5.3 for Linux (内部バージョン 5.3.0-1) 以降にアップデートしてください。
   - [CLUSTERPRO X SingleServerSafe 5.3 for Linux アップデートリリース CPRO-XL450-10 (内部バージョン 5.3.1-1)] (https://www.support.nec.co.jp/View.aspx?id=9010111979)

- 回避策について
 Firewallを有効にし、下記の通り不要な通信を遮断してください。
 - 下記のポートについて、クラスタに所属するホストのみに接続要求の受付を許可する。
  - データ転送(既定値: 29002)

参考情報

CVE-2025-11546
https://www.cve.org/CVERecord?id=CVE-2025-11546

更新情報

2025/11/07
CLUSTERPRO X を登録しました。