M-Files Serverに存在する重大なセキュリティ脆弱性により、認証済みの攻撃者がM-Files Webインターフェースを介してアクティブユーザーのセッショントークンを取得でき、なりすましや機密情報への不正アクセスが可能になります。
CVE-2025-13008として追跡されているこの欠陥は、2025年12月19日に公開され、企業環境で展開されている複数のM-Files Serverバージョンに影響します。
| 項目 | 詳細 |
|---|---|
| CVE ID | CVE-2025-13008 |
| 脆弱性の種類 | 情報漏えい / セッショントークンの露出 |
| 影響を受けるコンポーネント | M-Files Web(M-Files Server) |
| 深刻度 | 高 |
| CVSS 4.0 スコア | 8.6 |
脆弱性の概要
CVE-2025-13008は、M-Files Webにおけるセッショントークン保護メカニズムの不備に起因する情報漏えいの脆弱性です。
この欠陥を悪用した認証済み攻撃者は、M-Files Webインターフェースをアクティブに使用している他ユーザーのセッショントークンを傍受して窃取できます。
この脆弱性は、被害者が特定のクライアント操作を行うことを要し、アクティブセッション中にトークンを取得できる機会の窓が生じます。
盗まれたセッショントークンにより、攻撃者は正規ユーザーになりすまして完全に偽装でき、そのユーザーのID、権限、アクセス権を引き継ぎます。
これにより、機密文書の不正閲覧、重要レコードの改ざん、検知されないままの特権操作の実行が可能になります。
攻撃者はユーザーパスワードを侵害するのではなく有効なセッション資格情報を悪用するため、この攻撃は従来の認証制御を回避し得ます。
この脆弱性は、25.12.15491.7より前のバージョン、LTS 25.8 SR3(25.8.15085.18)、LTS 25.2 SR3(25.2.14524.14)、およびLTS 24.8 SR5(24.8.13981.17)を実行しているM-Files Serverインストールに影響します。
M-FilesはCVSS 4.0の基本スコアを8.6に設定しており、深刻度が高く、機密性・完全性・可用性の侵害につながる重大な可能性を示しています。
この欠陥はCWE-359(権限のない主体への個人の私的情報の露出)に分類され、CAPEC-60(セッションIDの再利用/セッションリプレイ)にマッピングされています。
この脆弱性は公に悪用された事例はなく、責任ある開示のままですが、組織がパッチ適用を遅らせれば将来的に悪用される可能性があります。
M-Files Serverを使用している組織は、直ちに修正済みバージョン(25.12.15491.7)または導入環境に適したLTSサービスリリースへアップグレードする必要があります。
セキュリティチームは、M-FilesのWebアクセスログを監査して不審なセッション活動パターンを確認し、パッチが完全に展開されるまで、トークンベース認証の異常に対する追加監視を実装すべきです。
翻訳元: https://gbhackers.com/m-files-vulnerability/
