【既知の不具合】Endpoint Centralの脆弱性(CVE-2025-7473)について
作成日:2025年11月13日 | 更新日:2025年11月13日
Endpoint Centralの脆弱性(CVE-2025-7473)の概要
対象ビルド
Endpoint Central 11.4.2516.1 以前のビルド
※ ご利用中のバージョン・ビルド番号の確認方法はこちらをご覧ください。
※ 日本国内向けのリリースビルド11.3.2400.33も該当いたします。
問題
Endpoint Centralにおいて、管理者権限を持たない製品ユーザーが、一定の条件下で特殊なXMLを作成することで、管理者権限の必要な操作を実行可能になるXMLインジェクションの脆弱性が確認されました。
影響を受けるビルドにおいては、XMLで使用される特殊エレメントに予約語や「<」「>」「&」「"」といった特殊文字を含めることが可能なため、XMLファイルにデータを追加したり、XML構文を編集したりできる可能性があります。
- https://www.cve.org/CVERecord?id=CVE-2025-7473(CVE)
- https://nvd.nist.gov/vuln/detail/CVE-2025-7473(NIST)
- https://www.manageengine.com/products/desktop-central/parsing-xml-data.html(ManageEngine)
影響
複数の製品ユーザーを追加し、各ユーザーにロールに基づく権限を設定している環境において、影響があります。
(製品ユーザーが1名のみの場合、管理者権限を持たないユーザーが存在しないため、実質的な影響はありません)
- CVSS Score: 5.2
- Severity: Medium
- Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:L
修正予定ビルド
Endpoint Central 11.4.2516.1 以降のビルドで修正が予定されています。
現在、日本国内向けにリリースされている修正済みビルドはありません(もし早急な対応が必要である場合は、恐れ入りますがお問い合わせください)。