2025年7月21日、Sophosは同社の次世代ファイアウォール製品「Sophos Firewall」において発見された5件のセキュリティ脆弱性を公表し、
全ての対象バージョンに対して修正を提供済みであることを発表しました。
これらの脆弱性には、リモートコード実行(RCE)やSQLインジェクション、コマンドインジェクションといった深刻なものが含まれており、一部は事前認証での攻撃が可能な構成条件下にありました。
影響を受ける脆弱性の概要
以下は今回公表されたCVE(共通脆弱性識別子)とその内容です
| CVE ID | 内容 | 深刻度 |
|---|---|---|
| CVE-2025-6704 | SPX(Secure PDF eXchange)機能における任意ファイル書き込み。HA構成で特定の条件下において、事前認証でRCEが可能。影響端末は全体の約0.05%。 | クリティカル |
| CVE-2025-7624 | レガシーSMTPプロキシにおけるSQLインジェクション。旧バージョン(21.0未満)からアップグレードした環境で隔離ポリシー有効時に、リモートコード実行が可能。影響端末は約0.73%。 | クリティカル |
| CVE-2025-7382 | WebAdminにおけるコマンドインジェクション。HA構成かつOTP認証有効時、隣接ネットワークからの事前認証RCEが可能。影響端末は約1%。 | 高 |
| CVE-2024-13974 | Up2Date機能のロジック不備により、攻撃者がDNS設定を制御してRCEが可能に。 | 高 |
| CVE-2024-13973 | WebAdminにおける認証後SQLインジェクションで、管理者が任意コードを実行可能。 | 中 |
これらの脆弱性は、外部のセキュリティ研究者や英国NCSC(国家サイバーセキュリティセンター)からSophosへ責任ある開示が行われ、Sophosのバグ報奨金プログラムを通じて報告されたものです。
対象バージョンと修正内容
修正は2025年1月~7月にかけて段階的にホットフィックスとして提供されており、Sophos Firewallの「ホットフィックスの自動適用」が有効(デフォルト設定)であれば、ユーザー側の操作は不要です。
| CVE | 修正提供日(対象バージョン) |
|---|---|
| CVE-2025-6704 | 2025年6月24日・7月1日より適用開始(v19.0 MR2 ~ v21.5 GA) |
| CVE-2025-7624 | 2025年7月15日より適用開始(v19.0 MR2 ~ v21.5 GA) |
| CVE-2025-7382 | 2025年6月30日・7月2日より適用開始(v19.0 MR2 ~ v21.5 GA) |
| CVE-2024-13974 | 2025年1月6日~7日に適用(v19.0 MR2 ~ v21.0 GA) |
| CVE-2024-13973 | v21.0 MR1以降に修正含む |
v21.0 MR2以降のバージョンではすべての脆弱性が解消済みです。サポート対象外のバージョンを使用している場合は、最新のバージョンへアップグレードが必須となります。
ユーザーへの推奨対応
Sophosは本件に関して、次のような対応を推奨しています:
-
自動ホットフィックスの有効化を確認する(デフォルトで有効)
-
稼働バージョンが21.0 MR2以上であることを確認する
-
KBA-000010589の手順に従い、ホットフィックスが適用済みかを確認(確認手順はこちら)
また、現時点ではこれらの脆弱性が実際に悪用された痕跡は確認されていないとされていますが、攻撃対象領域が特定条件下で広範囲に及ぶため、速やかなバージョン確認と対策が推奨されます。








に認証バイパス脆弱性CVE-2025-22462-早急なパッチ適用を推奨-200x200.png)