- 法人向けサーバー・クライアント用製品 カテゴリー一覧 > 不具合・トラブル > オンプレミス型セキュリティ管理ツールのWebコンソールで報告されている脆弱性への対応について(CVE-2025-8352)
オンプレミス型セキュリティ管理ツールのWebコンソールで報告されている脆弱性への対応について(CVE-2025-8352)
回答
オンプレミス型セキュリティ管理ツール の Webコンソール で報告されている脆弱性(CVE-2025-8352)への対応についてご案内いたします。
本脆弱性の詳細は以下の通りです。
◆ 脆弱性の対象となる製品
◆ 脆弱性の情報
◆ 想定される影響
◆ 対応方法
脆弱性の対象となるプログラムをご利用中のお客さまは、修正バージョンへのバージョンアップをしていただきますようお願いします。
◆ 脆弱性の対象となる製品
- ESET PROTECT Essential クラウド
- ESET PROTECT Entry(旧名称:ESET PROTECT Entry クラウド)
- ESET PROTECT Advanced(旧名称:ESET PROTECT Advanced クラウド)
- ESET PROTECT Complete(旧名称:ESET PROTECT Complete クラウド)
- ESET PROTECT Essential オンプレミス
- ESET PROTECT Entry オンプレミス
- ESET PROTECT Essential Plus オンプレミス
- ESET PROTECT Advanced オンプレミス
- ESET PROTECT MDR Ultimate(旧名称:ESET PROTECT MDR)
- ESET PROTECT MDR Advanced
- ESET PROTECT MDR Lite
- ESET PROTECT Elite
- ESET PROTECT Enterprise
◆ 脆弱性の対象となるプログラム
プログラム名 |
バージョン |
|
| オンプレミス型セキュリティ管理ツール (ESET PROTECT on-prem) |
V12.1 | V12.1.10.0(Web コンソール V12.1.253.0) |
| V12.0 | V12.0.14.0(Web コンソール V12.0.290.0) | |
| V12.0.8.0(Web コンソール V12.0.274.0) | ||
| V11.1 | V11.1.17.0(Web コンソール V11.1.150.0) | |
| V11.1.15.0(Web コンソール V11.1.145.0) | ||
| V11.0 | V11.0.15.0(Web コンソール V11.0.194.0) | |
| V10.1 | V10.1.29.2(Web コンソール V10.1.278.0) | |
※ ESET PROTECT on-prem にWebコンソールなどのコンポーネントが含まれます。
コンポーネントのバージョンの確認方法はこちらをご参照ください。
※ クラウド型セキュリティ管理ツールは、対象外です。
◆ 脆弱性の情報
対象の ESET PROTECT on-prem の Web コンソール に、サービス拒否(denial-of-service)の脆弱性が存在します。
【 参考 】
- [CA8854] ESET Customer Advisory: Denial-of-service vulnerability in ESET PROTECT On-Prem fixed
(リンクをクリックすると、ESET社のWebサイト(英語)が別ウインドウで開きます。)
- CVE-2025-8352
(リンクをクリックすると、CVEのWebサイト(英語)が別ウインドウで開きます。)
◆ 想定される影響
本脆弱性は、マルチパートリクエスト(HTTP通信において、ファイルなど複数種類のデータを送信するための方式)の入力データの制限が欠如していることに起因します。
対象のプログラムをご利用の場合、攻撃者によって、細工したリクエストがWebコンソールに送信されることで、CPUやメモリなどのリソースが過剰に消費される可能性があります。
その結果、ESET PROTECT Web コンソール や同じサーバー上の他のサービスが正常に動作しなくなる可能性があります。
なお、本脆弱性による、ESETプログラムの保護機能への影響はありません。
◆ 対応方法
2025年8月25日に、本脆弱性が修正されたプログラムを公開しています。
脆弱性の対象となるプログラムをご利用中のお客さまは、ユーザーズサイトにて現在公開しております以下の【 修正プログラム 】へのバージョンアップを実施いただきますようお願いします。
【 修正プログラム 】
プログラム名 |
バージョン |
|
| オンプレミス型セキュリティ管理ツール (ESET PROTECT on-prem) |
V12.1 | V12.1.12.0(Web コンソール V12.1.261.0、Apache Tomcat V9.0.107) |
| V12.0 | V12.0.16.0(Web コンソール V12.0.307.0、Apache Tomcat V9.0.107) | |
| V11.1 | V11.1.19.0(Web コンソール V11.1.160.0、Apache Tomcat V9.0.107) | |
※ Apache Tomcat にも脆弱性(CVE-2025-48988 / CVE-2025-48976 / CVE-2025-52520 / CVE-2025-52434)が存在するため、Apache Tomcat V9.0.107 以降のご利用をお願いします。
※ 仮想アプライアンス や Linux環境 で ESET PROTECT on-prem をご利用の場合、Apache Tomcat は OS のリポジトリにより管理されています。
そのため、ESETプログラムのバージョンアップとは別に、Apache Tomcat のバージョンが「9.0.107 以降」であることをご確認ください。
【 バージョンアップ方法 】
- Windows Server 環境で、オールインワンインストーラーを利用してバージョンアップする場合はこちら
- Windows Server 環境、および Linux Server環境で、セキュリティ管理ツールのタスク機能を利用してバージョンアップする場合はこちら
◆ サポートセンターへのお問い合わせ
本脆弱性に関してご不明な点がございましたら、弊社サポートセンターにお問い合わせください。
お客さまにはご迷惑をお掛けしますことを、深くお詫び申し上げます。
[更新履歴]
2025年08月25日:公開
- プログラム
- ESET PROTECT(オンプレミス版)
- プラットフォーム(OS)
- Windows Server, Linux Server
【 より良いサポート情報のご提供のため、アンケートにご協力ください! 】このQ&Aは役に立ちましたか?
関連Webサイト
|
|
 |
|