F5 BIG-IP APMの脆弱性がRCEに再分類-CVE-2025-53521は既に悪用確認

セキュリティニュース

投稿日時: 更新日時:

F5 BIG-IP APMの脆弱性がRCEに再分類-CVE-2025-53521は既に悪用確認

F5は2026年3月29日、BIG-IP Access Policy Manager APM の脆弱性 CVE-2025-53521 に関するアドバイザリを更新しました。JPCERT/CCによると、この問題は当初2025年10月にサービス運用妨害 DoS として公表されていましたが、2026年3月の新たな情報を踏まえて、認証不要のリモートコード実行 RCE につながる脆弱性へ再分類されました。あわせて、開発元によると悪用も確認されています

脆弱性の内容

今回のCVE-2025-53521は、F5のアドバイザリ番号では K000156741 に対応しています。外部機関の注意喚起では、CVSS v3.1 は 9.8 とされており、認証不要、ネットワーク経由、ユーザー操作不要の条件で成立する極めて深刻な問題として扱われています。

もともとDoSとして見られていた問題が、後からRCEへ再評価された点も見逃せません。これは、既に公開済みだった情報を前提に安全側へ見積もっていた組織ほど、対応が遅れるおそれがあることを意味します。

影響を受けるバージョンと修正版

F5のリリースノートでは、CVE-2025-53521 と K000156741 に対応する修正版が示されています。

確認できる修正版は、21.0.0、17.5.1.3、17.1.3、16.1.6.1、15.1.10.8 です。少なくとも、これより前の該当系統を運用している場合は、影響有無の確認と更新が必要です。

特に、17.1系や17.5系だけでなく、16.1系、15.1系にも修正版が出ている点は重要です。比較的古い安定系を長く使っている環境でも、今回の脆弱性は対象になり得るため、小規模拠点や更改待ち機器を含めた棚卸しが必要です。