出典: Security NEXT – https://www.security-next.com/177136
ベクトルDB「Milvus」に深刻な脆弱性が発見される
ベクトルデータベース「Milvus」のプロキシコンポーネントに、認証をバイパスして管理権限を奪取できる深刻な脆弱性が明らかになりました。開発チームは既に修正パッチをリリースし、利用者に早急なアップデートを呼びかけています。
主要なポイント
- 脆弱性の内容:一部HTTPヘッダの処理に問題があり、細工したリクエストにより認証を回避し、管理者権限を取得可能。
- 影響範囲:データの読み取り、改ざん、削除だけでなく、データベースやコレクションの管理操作も可能となり、クラスタ全体の乗っ取りリスクがある。
- 脆弱性識別番号:CVE-2025-64513として登録されている。
- 重要度評価:CVSSv4.0のベーススコアは9.3で、「クリティカル(Critical)」と評価。
- 対応状況:2025年11月11日に「Milvus 2.6.5」「2.5.21」「2.4.24」の修正版が公開され、一時的な緩和策として通信経路で問題のヘッダを削除する方法も案内されている。
技術的な詳細と背景情報
Milvusは高性能なベクトルデータベースで、主に機械学習やAI分野での類似検索に利用されています。今回の脆弱性はプロキシコンポーネントに存在し、特定のHTTPヘッダの扱いに不備があったことが原因です。攻撃者は細工したHTTPリクエストを送信することで、本来必要な認証を回避し、管理者権限を取得できます。
このような認証バイパスは、システムの完全な制御を奪われるリスクが高く、データベースの内容を自由に操作できるため、企業の機密情報漏洩やサービス停止につながる重大な問題です。
影響と重要性
MilvusはAIやビッグデータ解析の現場で広く使われているため、この脆弱性が悪用されると、企業の重要データが危険にさらされる可能性があります。クラスタ全体の乗っ取りにより、サービスの信頼性が損なわれるだけでなく、顧客情報の漏洩や業務停止などの深刻な被害が想定されます。
また、CVSSスコア9.3という高い評価は、迅速な対策が必要であることを示しており、利用者は速やかにアップデートを適用することが強く推奨されます。
まとめ
ベクトルDB「Milvus」のプロキシコンポーネントに存在する認証バイパス脆弱性「CVE-2025-64513」は、管理権限を奪取されクラスタ全体が乗っ取られる恐れがある非常に深刻な問題です。開発チームは既に修正パッチをリリースしており、利用者は速やかに最新版へアップデートすることが重要です。万が一の被害を防ぐためにも、通信経路で問題のヘッダを削除する緩和策も検討してください。
