【重要】FileZenログオン後画面でのコマンドインジェクション脆弱性について

FileZenご利用のお客様各位

2026年1月13日にリリース致しましたV5.0アップデートパック11で修正済みの脆弱性1件につきまして、JPCERTコーディネーションセンター (JPCERT/CC)に届け出を行いました。脆弱性内容について改めてお知らせいたします。

既に保守ユーザー様へは連絡済み(※1)ではありますが、該当のバージョンをご利用の場合、最新バージョンへ必ずアップデートしてくださいますよう、改めてお願い申し上げます。

1. 1.対象バージョン
   FileZen V4.2.1〜5.0.10
   (物理版、仮想版を問いません。バージョンは、システム管理ページにログオン頂くと上部で確認できます。)
   

   なお、FileZen Sは本脆弱性の影響を受けません。

2. 2.確認された脆弱性と影響
   1. 2-1.脆弱性概要
      ログオン後画面での、特定フィールドへのコマンドインジェクション脆弱性(CWE-78)
      JVN#84622767
      CVE-2026-25108
      CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.7
      CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 8.8
      
   2. 2-2.本脆弱性を受ける条件
      • FileZenウイルスチェックオプションが有効となっている。
        (このため、BitDefenderライセンスをご購入されていないお客様は対象外です。)
      • 攻撃者がユーザーログオンできる状態になっている。
        (少なくとも1ユーザーのログオン情報の漏洩、もしくはIDやPW推測によるログオン成功)
   3. 2-3.脆弱性の影響
      遠隔の第三者によってFileZen内部に対し任意のOSコマンドを実行される可能性があります。
3. 3.本脆弱性悪用の確認
   現在、本脆弱性悪用による被害の報告を1件以上受けています。
4. 4.脆弱性への対処方法
   FileZenをV5.0.11以降にアップデートしてください。
   2-2条件合致下においてV4.2.1〜5.0.10で回避する方法はありません。
5. 5.本脆弱性を悪用した被害の確認方法
   「本脆弱性を利用された」ことを明示的に確認する機能は本製品にはございません。
   ただし、FileZenにはシステムディレクトリ内のファイル監視機能がございます。
   攻撃者がシステムディレクトリに対してファイルを操作した場合、ログに出力されている可能性があります。
   (確認方法はサポートサービス契約連絡先に登録されているメールアドレス(※1)へご案内しております。)
   
6. 6.ご利用のお客様へのお願い
   本脆弱性を成立させるためには、Web画面へ一般ユーザー権限でログオンする必要があります。
   本脆弱性による攻撃を受けた、被害の可能性があるといった場合は、攻撃者は少なくとも1つの実在アカウントでログオンできる状態であるため、V5.0.11以降へのアップデートのみならず、念の為全ユーザーのパスワードの変更をご検討ください。
   また、こちらのFAQ記事をご参考の上、その他の安全対策を講じてください。
   
7. 7.本件に関するお問い合わせ先
   

   FileZenサポートサービスご契約のお客様	ご契約時に案内している窓口
   上記以外の方	お問い合わせフォーム

1. ※1弊社との契約において連絡先として登録頂いているメールアドレスへご案内しております。
   弊社からの連絡先が販社殿となっている場合もございますので、連絡の届いていない保守ユーザー様はご契約の販社殿へご確認ください。

以上