Redmine DMSF Pluginにパストラバーサルの脆弱性、最新版へのアップデートを推奨

text: XEXEQ編集部

Redmine DMSF Pluginの脆弱性に関する記事の要約

Redmine DMSF PluginにパストラバーサルのCVE-22が存在
当該プラグインを有効化している場合にRedmineユーザーによる不正アクセスの可能性
Redmineの実行権限でサーバー上の任意ファイルが取得・削除される恐れ
脆弱性はバージョン3.1.4で修正済み、最新版へのアップデートを推奨

Redmine DMSF Pluginのパストラバーサルによるサーバー内ファイルへの不正アクセスの可能性

Kontron社のRedmine DMSF Pluginには、パストラバーサル（CWE-22）の脆弱性が内在している。この脆弱性が悪用された場合、Redmineにログイン済みのユーザーによって、サーバー上の任意のファイルが不正に取得されたり削除されたりする危険性が高い。^[1]

特に、当該プラグインを有効化しているRedmineでは、ユーザーに付与された実行権限の範囲内で、これらの不正行為が実行可能だ。したがって、機密情報や重要なシステムファイルなどへの深刻な被害が想定される。

なお、この脆弱性はRedmine DMSF Pluginのバージョン3.1.4で修正されている。そのため、当該プラグインを使用中の環境では、可及的速やかに最新バージョンへのアップデートを行うことが強く推奨される。

Redmine DMSF Pluginの脆弱性に関する考察

今回の脆弱性は、多くの企業で利用されているオープンソースのプロジェクト管理ツールであるRedmineのプラグインに見つかったものだ。ファイル管理機能を拡張するDMSFプラグインは利便性が高い。一方で脆弱性を突かれるとサーバー内の重要ファイルが危険に晒されるため、プラグインの導入には慎重さが求められる。

オープンソースのメリットを享受しつつセキュリティを担保するには、プラグインの選定時に脆弱性検証を行うとともに、継続的な更新が不可欠だ。開発者コミュニティとユーザー企業の協力による、責任あるオープンソース活用が望まれる。また、プラグインに依存せず本体の堅牢化を図ることも重要な視点と言えるだろう。