米CISAは、ソリトンシステムズのファイル転送製品FileZenに存在するOSコマンドインジェクション脆弱性 CVE-2026-25108について、既に悪用が確認された脆弱性カタログ(KEV)に追加しました。KEVデータ(CISA公開のJSON)では、当該CVEの追加日を2026年2月24日、対応期限を2026年3月17日としています。
国内でも、JPCERT/CCはソリトンシステムズが本脆弱性の悪用を確認しているとしたうえで、早期のアップデート適用と侵害有無の調査を検討するよう注意喚起しています。
概要
CVE-2026-25108は、FileZenへログオンできるユーザーが、細工したHTTPリクエストを送信することで、任意のOSコマンドを実行される可能性がある脆弱性です。JVNでも同様に、ログイン済みユーザーによる細工リクエストで任意コマンド実行の可能性が示されています。
影響を受けるバージョン
FileZen V4.2.1~V4.2.8、V5.0.0~V5.0.10です。FileZen Sは影響を受けないとされています。
対策バージョン
V5.0.11(V5.0アップデートパック11)への更新が基本線で、JPCERT/CCも修正済みファームウェアとしてV5.0.11を挙げています。
原因
ソリトンシステムズの案内では、ログオン後画面の特定フィールドに対するコマンドインジェクション(CWE-78)が原因だと整理されています。
また、成立条件として少なくとも次の2点が必要だとしています。
-
FileZenウイルスチェックオプションが有効である(Bitdefenderライセンス購入環境が前提になる旨の記載あり)
-
攻撃者がFileZen Webサイトにユーザーログオンできる状態である(認証情報漏えい、または推測等でログオンに成功)
このため、ゼロクリックで外部から即RCEというタイプではなく、まず有効なアカウントを押さえたうえで悪用される類型です。一方で、KEVに追加されたという事実は、実際に攻撃が観測されていることを意味します。








