「CLUSTERPRO X」および「EXPRESSCLUSTER X」におけるOSコマンドインジェクションの脆弱性(JVN#59387134)
【概要】
日本電気株式会社が提供する「CLUSTERPRO X」および「EXPRESSCLUSTER X」は、クラスタリングソフトウェアです。
「CLUSTERPRO X」および「EXPRESSCLUSTER X」には、OSコマンド・インジェクションの脆弱性が存在します。
攻撃者が当該製品に細工したネットワークパケットを送信した場合、認証無しで任意のOSコマンドを実行される可能性があります。
製品開発者が提供する情報をもとに、最新版へアップデート、または、ワークアラウンドを実施してください。
【本脆弱性の深刻度】
脆弱性の深刻度は共通脆弱性評価システムCVSS v3に基づいて定めている。
- CVSS v3に基づいた深刻度と基本値について
CVE-2025-11546
- 本脆弱性のCVSS v3深刻度 緊急
- 本脆弱性のCVSS v3基本値 9.8
【対象】
次の製品が対象です。
・CLUSTERPRO X 4.0 for Linux
・EXPRESSCLUSTER X 4.0 for Linux
・CLUSTERPRO X 4.1 for Linux
・EXPRESSCLUSTER X 4.1 for Linux
・CLUSTERPRO X 4.2 for Linux
・EXPRESSCLUSTER X 4.2 for Linux
・CLUSTERPRO X 4.3 for Linux
・EXPRESSCLUSTER X 4.3 for Linux
・CLUSTERPRO X 5.0 for Linux
・EXPRESSCLUSTER X 5.0 for Linux
・CLUSTERPRO X 5.1 for Linux
・EXPRESSCLUSTER X 5.1 for Linux
・CLUSTERPRO X 5.2 for Linux
・EXPRESSCLUSTER X 5.2 for Linux
・CLUSTERPRO X SingleServerSafe 4.0 for Linux
・EXPRESSCLUSTER X SingleServerSafe 4.0 for Linux
・CLUSTERPRO X SingleServerSafe 4.1 for Linux
・EXPRESSCLUSTER X SingleServerSafe 4.1 for Linux
・CLUSTERPRO X SingleServerSafe 4.2 for Linux
・EXPRESSCLUSTER X SingleServerSafe 4.2 for Linux
・CLUSTERPRO X SingleServerSafe 4.3 for Linux
・EXPRESSCLUSTER X SingleServerSafe 4.3 for Linux
・CLUSTERPRO X SingleServerSafe 5.0 for Linux
・EXPRESSCLUSTER X SingleServerSafe 5.0 for Linux
・CLUSTERPRO X SingleServerSafe 5.1 for Linux
・EXPRESSCLUSTER X SingleServerSafe 5.1 for Linux
・CLUSTERPRO X SingleServerSafe 5.2 for Linux
・EXPRESSCLUSTER X SingleServerSafe 5.2 for Linux
【対策】
アップデートする
製品開発者が提供する情報をもとに、最新版へアップデートしてください。
ワークアラウンドを実施する
製品開発者によると、次の回避策を適用することで、本脆弱性の影響を回避できるとの事です
- Firewall を有効にし、不要な通信を遮断する
- 次のポートについて、クラスタに所属するホストのみに接続要求の受付を許可する
- データ転送(既定値: 29002)
詳細は、開発者が提供する情報を確認してください。
【参考情報】
- 「情報セキュリティ早期警戒パートナーシップ」について
この脆弱性情報は、IPA が届出を受け、JPCERT/CC が開発者との調整を行いました。詳細は、下記の URL を参照ください。
出典:独立行政法人情報処理推進機構(IPA)