現在位置: ホーム / その他の製品サポート情報 / MIRACLE CLUSTERPRO X5 技術情報 / MIRACLE CLUSTERPRO X5 サポート関連情報 / MIRACLE CLUSTERPRO X および MIRACLE FailSafe におけるコマンドインジェクションの脆弱性 (CVE-2025-11546) について

MIRACLE CLUSTERPRO X および MIRACLE FailSafe におけるコマンドインジェクションの脆弱性 (CVE-2025-11546) について

本ドキュメントの対象となる製品

MIRACLE CLUSTERPRO X および MIRACLE FailSafe のバージョン 4 系、および 5.0 ～ 5.2 に関する全ての製品

概要

CLUSTERPRO X には、OS コマンドインジェクションの脆弱性 (CVE-2025-11546) が存在します。攻撃者が当該製品に細⼯したネットワークパケットを送信した場合、認証無しで任意の OS コマンドを実⾏される可能性があります。

発生バージョン

MIRACLE CLUSTERPRO X 4.x for Linux
MIRACLE CLUSTERPRO X 5.0 for Linux
MIRACLE CLUSTERPRO X 5.1 for Linux
MIRACLE CLUSTERPRO X 5.2 for Linux
MIRACLE FailSafe 4.x for Linux
MIRACLE FailSafe 5.0 for Linux
MIRACLE FailSafe 5.1 for Linux
MIRACLE FailSafe 5.2 for Linux

対処方法

MIRACLE CLUSTERPRO X および MIRACLE FailSafe のバージョン 4 系の製品につきましては、バージョン 4.3 (内部バージョン 4.3.4-1) にアップデートした後に、修正モジュールを適用することにより、本不具合を解決することが可能です。

また、MIRACLE CLUSTERPRO X および MIRACLE FailSafe のバージョン 5 系の製品につきましては、バージョン 5.3 (内部バージョン 5.3.0-1) 以降にアップデートすることにより、本不具合を解消することが可能です。

詳細につきましては当社サポートセンターへお問い合わせください。

回避・軽減策

Firewallを有効にし、下記の通り不要な通信を遮断してください。

下記のポートについて、クラスタに所属するホストのみに接続要求の受付を許可する。

データ転送 (既定値: 29002)

参考情報

CLUSTERPRO XにおけるOSコマンドインジェクションの脆弱性

https://jpn.nec.com/security-info/secinfo/nv25-006.html

CLUSTERPRO：CLUSTERPRO X for Linux におけるコマンドインジェクションの脆弱性(CVE-2025-11546)について

https://www.support.nec.co.jp/View.aspx?id=3150117350

CVE-2025-11546

https://www.cve.org/CVERecord?id=CVE-2025-11546

JVN

https://jvndb.jvn.jp/ja/contents/2025/JVNDB-2025-000102.html

注意事項

本ドキュメントは、各ソフトウェア開発元の情報およびマニュアル等に基づく参考情報です。
本ドキュメントの内容は、予告なしに変更される場合があります。
本ドキュメントは、限られた評価環境における検証結果をもとに作成しており、全ての環境での動作を保証するものではありません。
本ドキュメントの内容に基づき、導入、設定、運用を行ったことにより損害が生じた場合でも、弊社はその損害についての責任を負いません。あくまでお客様のご判断にてご使用ください。

更新履歴

2025年11月07日新規作成

タグ: サポート関連情報

MIRACLE CLUSTERPRO X5 サポート

MIRACLE CLUSTERPRO X5 サポート関連情報