人気のPythonロギングライブラリにRCEの脆弱性：CVE-2025-27607

3月7〜10日：サイバーセキュリティ関連ニュース

人気のPythonロギングライブラリにリモートコード実行の脆弱性：CVE-2025-27607

Securityonline[.]info – March 9, 2025

JSONログの出力に使われる人気Pythonライブラリ「python-json-logger」に重大な脆弱性CVE-2025-27607が存在していたことが発覚。この脆弱性が攻撃者に悪用された場合、同ライブラリがインストールされたシステム上での任意コードの実行が可能となる恐れがある。

CVE-2025-27607（CVSS 8.8）は「msgspec-python313-pre」というオプションの依存関係がライブラリ所有者によって削除されたことに起因する脆弱性。これにより攻撃者は同名（msgspec-python313-pre）の有害なパッケージをPyPIに公開できるようになり、「オプションの依存関係を含むpython-json-loggerを開発者がインストールするとこの有害なパッケージが自動でインストールされる」というシナリオを作ることが可能となった。実際に悪用が成功した場合、攻撃者はリモートで任意のコードを実行できるようになるとされる。

python-json-loggerはひと月あたりのダウンロード数が4,300万回を超える人気パッケージ。このため、CVE-2025-27607は多数のユーザーに重大な脅威をもたらす存在となっている。Python 3.13.x環境にオプション依存関係を含む当該パッケージをインストールする者はいずれも、リスクに晒される恐れがあるという。

python-json-loggerが脆弱だった期間は2024年12月30日〜2025年3月4日とされ、影響を受けるバージョンは3.2.0および3.2.1とされる。同パッケージを使用している開発者や組織には、バージョンを修正版の含まれる3.3.0以降にアップデートすることが強く推奨されている。詳細なPoCや技術的分析はGitHub上のアドバイザリから確認できる。

ServiceNow、Now Platformにおける認可バイパスの脆弱性に対処：CVE-2025-0337

Securityonline[.]info – March 7, 2025

ServiceNowのクラウドソリューションNow PlatformのWashington D.C.リリースに、認可バイパスの脆弱性CVE-2025-0337の存在が発覚。この脆弱性が悪用された場合、意図されたアクセス制限が回避され、許可なく機微なデータへアクセスすることが可能になる恐れがあるという。

CVE-2025-0337は認証されていないリモートのユーザーによる不正アクセスを実現する脆弱性ではないものの、認証済みのユーザーに対し、本来そのユーザーに許可されていないNow Platform内のデータへのアクセスを可能にする危険性がある。この結果、ServiceNowによって管理されるITSM（ITサービス管理）やCRM（顧客関係管理）、およびその他の重要なビジネスプロセス内の機微なレコードが不正に閲覧される可能性が生じるという。

ServiceNowはフォーチュン500の企業や政府機関、ITサービスプロバイダーといった組織にも広く使われていることから、脆弱性の影響が広範に及ぶ恐れも懸念される。ServiceNowはすべての顧客に対し、必要なパッチをできる限り早急に適用し、悪用のリスクを軽減するよう呼びかけている。