JPCERT-AT-2026-0004
JPCERT/CC
2026-02-13

I. 概要

2026年2月13日、株式会社ソリトンシステムズがFileZenにおけるOSコマンドインジェクションの脆弱性（CVE-2026-25108）に関する情報を公表しました。本脆弱性を悪用されると、当該製品にログオンしたユーザーが、任意のOSコマンドを実行する可能性があります。株式会社ソリトンシステムズは、本脆弱性の悪用を確認しているとのことです。

株式会社ソリトンシステムズ
【重要】FileZenログオン後画面でのコマンドインジェクション脆弱性について
https://www.soliton.co.jp/support/2026/006657.html

株式会社ソリトンシステムズは、本脆弱性に対する対策を1月13日にリリースしていますが、JPCERT/CCでは、本情報発行時点でも、本脆弱性の影響を受ける可能性がある製品の国内での利用を確認しています。今後、脆弱性の詳細などが公表され、脆弱性を悪用する攻撃が広く行われる可能性があります。

当該製品を利用している場合、後述「III. 対策」以降に記載の情報および株式会社ソリトンシステムズが提供する最新の情報をご確認の上、早期の対策の実施とあわせて機器が侵害されていないかどうかの調査の実施を検討してください。

II. 対象

本脆弱性の対象となる製品およびバージョンは次のとおりです。

- FileZen V4.2.1からV4.2.8までのバージョン
- FileZen V5.0.0からV5.0.10までのバージョン

FileZenウイルスチェックオプションが有効の場合、本脆弱性の影響を受けるとのことです。本脆弱性を受ける条件などの詳細は、株式会社ソリトンシステムズが提供する最新の情報を確認してください。

III. 対策

株式会社ソリトンシステムズが提供する情報を参考に、本脆弱性を修正する最新のアップデートを適用してください。株式会社ソリトンシステムズは本脆弱性を修正した次のファームウェアをリリースしています。

- FileZen V5.0.11

なお、FileZen V4.x系に対するファームウェアの提供はすでに終了しています。株式会社ソリトンシステムズが提供する情報をもとにV5.0.11にアップデートしてください。

IV. 侵害検出方法

株式会社ソリトンシステムズは顧客に対して、悪用の痕跡を確認する方法を提供しているとのことです。詳細は、株式会社ソリトンシステムズに問い合わせてください。

本脆弱性を悪用した攻撃を受けた可能性がある場合、攻撃者が少なくとも1つの有効なアカウント情報を取得し、ログオン可能な状態となっている可能性があるため、アップデートに加え、全ユーザーのパスワード変更を検討することが推奨されています。

V. 参考情報

Japan Vulnerability Notes JVN#84622767
FileZenにおけるOSコマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN84622767/

今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。

一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp