お客様各位

平素より、弊社商品をご愛用いただき、誠にありがとうございます。
弊社商品Xerox FreeFlow デジタル・ワークフロー・コレクションに含まれるXerox FreeFlow Coreにおいて、脆弱性(CVE-2025-8355～8356)^*1が存在することが判明しました。

• *1 NIST（米国国立標準技術研究所）が公開している脆弱性情報

大変ご迷惑をおかけ致しますが、お客様がお使いのXerox FreeFlow Coreが対象バージョンに該当するかをご確認いただき、該当する場合には下記の通りご対応をお願いいたします。

弊社では、本お知らせの掲載時点において、本脆弱性を利用した攻撃は確認しておりません。

脆弱性の内容

弊社商品Xerox FreeFlow Coreにおいて、複数のリモートコード実行につながる下記脆弱性があることが判明いたしました。

• CVE-2025-8355（High）：XXEによるSSRFの脆弱性（CWE-611）
• CVE-2025-8356（Critical）：パストラバーサルによるリモートコード実行（RCE）の脆弱性（CWE-22、CWE-94）

対象商品および対象バージョン

Xerox FreeFlow Core 7.0.0～7.0.11

• バージョンの確認方法
  1. ログイン後、画面右上にある「？」マークをクリックして、「FreeFlow Core情報」メニューを選択します。

     

  2. 表示された画面でバージョンを確認します。

     

対応

今回公開された脆弱性は、弊社が商品提供し、かつサポートするXerox FreeFlow Coreに潜在的に存在しておりますが、弊社では当該機能を商品機能では提供しておらず、また該当機能に関する情報も公開していません。

このため、適切に設定されたファイアウォールにより保護されている環境下で、以下の「回避策」に従って弊社の提供機能の範囲内で運用いただく限りは、脆弱性の回避が可能です。
恒久策としては、提供元であるXerox社から脆弱性対策版のソフトウェアが別途提供されておりますので、弊社にて品質確認後に提供準備が整いましたら、改めて情報展開をさせて頂きます。

回避策

上記に記載した通り、適切に設定されたファイアウォールにより、外部からの不正アクセスから保護されている場合、本脆弱性のリスクはありません。
更に以下の対策を実施することでXerox FreeFlow Core を使用しているネットワーク環境に依存することなく、脆弱性のリスクを低減することができます。

• 特定ポート（4004）を接続許可^*2しない。
  • *2 特定ポート（4004）の状況確認方法と接続許可している場合の停止方法は以下となります。

ポート4004の状況確認と停止方法

関連情報

Xerox Security Bulletin XRX25-013 for FreeFlow Core

CVE-2025-8355（High）

CVE-2025-8356（Critical）

お問合せ先

• ソフトウェアサポート契約をご契約いただいているお客様
  ソフトウェアサポート契約窓口までご連絡をお願いいたします。

• ソフトウェアサポート契約を契約されていないお客様
  富士フイルムビジネスイノベーション お客様相談センター Webでのお問合せ ： https://www.fujifilm.com/fb/support/callcenter/cic
  上記URLより、「商品に関するご質問」を選択し、お問い合わせください。
  フリーダイヤル：0120-27-4100
  受付時間：土日祝日及び年末年始（12/30～1/3）を除く、9：00-12：00、13：00-17：00