「CLUSTERPRO X」および「EXPRESSCLUSTER X」におけるOSコマンドインジェクションの脆弱性（JVN#59387134）

 注釈：最新情報は、JVN(JVN#59387134)をご覧ください。

概要

日本電気株式会社が提供する「CLUSTERPRO X」および「EXPRESSCLUSTER X」は、クラスタリングソフトウェアです。

「CLUSTERPRO X」および「EXPRESSCLUSTER X」には、OSコマンド・インジェクションの脆弱性が存在します。

攻撃者が当該製品に細工したネットワークパケットを送信した場合、認証無しで任意のOSコマンドを実行される可能性があります。

製品開発者が提供する情報をもとに、最新版へアップデート、または、ワークアラウンドを実施してください。

本脆弱性の深刻度

脆弱性の深刻度は共通脆弱性評価システムCVSS v3に基づいて定めている。

• CVSS v3に基づいた深刻度と基本値について
  • 脆弱性のCVSS v3深刻度
  • 脆弱性のCVSS v3基本値

CVE-2025-11546

対象

次の製品が対象です。

• CLUSTERPRO X 4.0 for Linux

• EXPRESSCLUSTER X 4.0 for Linux

• CLUSTERPRO X 4.1 for Linux

• EXPRESSCLUSTER X 4.1 for Linux

• CLUSTERPRO X 4.2 for Linux

• EXPRESSCLUSTER X 4.2 for Linux

• CLUSTERPRO X 4.3 for Linux

• EXPRESSCLUSTER X 4.3 for Linux

• CLUSTERPRO X 5.0 for Linux

• EXPRESSCLUSTER X 5.0 for Linux

• CLUSTERPRO X 5.1 for Linux

• EXPRESSCLUSTER X 5.1 for Linux

• CLUSTERPRO X 5.2 for Linux

• EXPRESSCLUSTER X 5.2 for Linux

• CLUSTERPRO X SingleServerSafe 4.0 for Linux

• EXPRESSCLUSTER X SingleServerSafe 4.0 for Linux

• CLUSTERPRO X SingleServerSafe 4.1 for Linux

• EXPRESSCLUSTER X SingleServerSafe 4.1 for Linux

• CLUSTERPRO X SingleServerSafe 4.2 for Linux

• EXPRESSCLUSTER X SingleServerSafe 4.2 for Linux

• CLUSTERPRO X SingleServerSafe 4.3 for Linux

• EXPRESSCLUSTER X SingleServerSafe 4.3 for Linux

• CLUSTERPRO X SingleServerSafe 5.0 for Linux

• EXPRESSCLUSTER X SingleServerSafe 5.0 for Linux

• CLUSTERPRO X SingleServerSafe 5.1 for Linux

• EXPRESSCLUSTER X SingleServerSafe 5.1 for Linux

• CLUSTERPRO X SingleServerSafe 5.2 for Linux

• EXPRESSCLUSTER X SingleServerSafe 5.2 for Linux

対策

アップデートする

製品開発者が提供する情報をもとに、最新版へアップデートしてください。

ワークアラウンドを実施する

製品開発者によると、次の回避策を適用することで、本脆弱性の影響を回避できるとの事です

• Firewall を有効にし、不要な通信を遮断する
  
• 次のポートについて、クラスタに所属するホストのみに接続要求の受付を許可する
  
  • データ転送（既定値: 29002）

詳細は、開発者が提供する情報を確認してください。

参考情報

• CLUSTERPRO XにおけるOSコマンドインジェクションの脆弱性

• 「情報セキュリティ早期警戒パートナーシップ」について
  この脆弱性情報は、IPA が届出を受け、JPCERT/CC が開発者との調整を行いました。詳細は、下記の URL を参照ください。
  • 脆弱性関連情報の届出受付