プログラミング

PROGRAMMING

公開：2024-10-18

【CVE-2024-45290】PhpSpreadsheetに深刻な脆弱性、情報漏洩のリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• PhpSpreadsheetに絶対パストラバーサルの脆弱性
• CVE-2024-45290として識別される深刻な問題
• 影響を受けるバージョンの更新が必要

PhpSpreadsheetの脆弱性がCVE-2024-45290として公開

PHPOfficeのPhpSpreadsheetにおいて、絶対パストラバーサルに関する脆弱性とサーバサイドのリクエストフォージェリの脆弱性が発見された。この脆弱性はCVE-2024-45290として識別され、CVSS v3による深刻度基本値は7.5（重要）と評価されている。攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされている。^[1]

影響を受けるバージョンは、PhpSpreadsheet 1.29.2未満、2.0.0以上2.1.1未満、2.2.0以上2.3.0未満である。この脆弱性により、攻撃者が情報を不正に取得する可能性がある。対策として、ベンダーから公開されているアドバイザリやパッチ情報を参照し、適切な対応を実施することが推奨されている。

CWEによる脆弱性タイプとしては、絶対パストラバーサル（CWE-36）とサーバサイドのリクエストフォージェリ（CWE-918）に分類されている。この脆弱性に関する詳細情報は、National Vulnerability Database (NVD)やGitHubのセキュリティアドバイザリページで確認することができる。ユーザーは速やかに最新バージョンへの更新を検討すべきだ。

PhpSpreadsheetの脆弱性概要

絶対パストラバーサルについて

絶対パストラバーサルとは、攻撃者がファイルパスを操作して、本来アクセスできないはずのシステムファイルや機密情報にアクセスする脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• ユーザー入力を適切に検証せずにファイルパスを構築
• ルートディレクトリからの絶対パスを使用して制限をバイパス
• 重要なシステムファイルや機密データへの不正アクセスが可能

PhpSpreadsheetの脆弱性では、この絶対パストラバーサルとサーバサイドリクエストフォージェリが組み合わさることで、攻撃者がサーバー上の任意のファイルにアクセスしたり、内部ネットワークリソースに不正にアクセスしたりする可能性がある。このため、影響を受けるバージョンを使用しているユーザーは、速やかにセキュリティアップデートを適用することが強く推奨される。

PhpSpreadsheetの脆弱性に関する考察

PhpSpreadsheetの脆弱性が公開されたことで、多くのPHPアプリケーションのセキュリティ向上につながる可能性がある。この事例を通じて、開発者たちはファイルパス操作やユーザー入力の検証の重要性を再認識し、より堅牢なコーディング習慣を身につけることができるだろう。また、オープンソースコミュニティの迅速な対応は、セキュリティ脆弱性への対処の模範となり得る。

しかし、この脆弱性の影響を受けるアプリケーションが広範囲に及ぶ可能性があることから、すべての影響を受けるシステムが適切にアップデートされるまでには時間がかかると予想される。特に、カスタマイズされたシステムや依存関係の複雑なアプリケーションでは、更新プロセスが困難を伴う可能性がある。このような状況下では、一時的な緩和策や追加のセキュリティ層の導入が重要となるだろう。

今後、PhpSpreadsheetのような広く使用されているライブラリに対しては、より厳格なセキュリティレビューやペネトレーションテストの実施が求められるかもしれない。また、開発者コミュニティ全体として、セキュリティを最優先事項とする文化を醸成し、脆弱性の早期発見と迅速な対応を可能にする仕組みづくりが期待される。このような取り組みが、オープンソースソフトウェアの信頼性と安全性の向上につながるはずだ。

参考サイト

1. ^ JVN. 「JVNDB-2024-010446 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-010446.html, (参照 24-10-18).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「プログラミング」に関するコラム一覧「プログラミング」に関するニュース一覧