【CVE-2024-6985】lollms-webuiにパストラバーサル脆弱性が発見、任意のフォルダ読み取りが可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

lollms-webuiにパストラバーサルの脆弱性が発見
personality_folderパラメータの不適切な処理が原因
任意のフォルダ読み取りが可能な深刻な脆弱性

lollms-webuiのパストラバーサル脆弱性

2024年10月11日、parisneo/lollms-webuiのapi open_personality_folder endpointにパストラバーサル脆弱性が発見され、【CVE-2024-6985】として公開された。この脆弱性はpersonality_folderパラメータの不適切な処理に起因しており、sanitize_pathが設定されているにもかかわらず、攻撃者が被害者のコンピュータ上の任意のフォルダを読み取ることを可能にする深刻な問題となっている。^[1]

この脆弱性はCWE-23（相対パストラバーサル）に分類され、攻撃者は高い特権レベルを必要とするものの、ユーザーの介入なしに攻撃を実行することが可能である。CVSS v3.0による評価では、攻撃元区分はローカル、攻撃条件の複雑さは低く、特権レベルは高いとされ、機密性への影響が高いと判断されている。

parisneo/lollmsのバージョン5.9.0より前のバージョンが影響を受けるとされており、開発者は対策としてバージョン5.9.0以降へのアップデートを推奨している。この脆弱性は2024年10月11日に公開され、同日にCISA-ADPによってSSVCバージョン2.0.3で評価が行われ、技術的な影響は部分的であると判断された。

CVE-2024-6985の詳細情報まとめ

項目	詳細
脆弱性ID	CVE-2024-6985
影響を受けるバージョン	5.9.0より前のバージョン
脆弱性の種類	パストラバーサル（CWE-23）
CVSSスコア	4.4（MEDIUM）
公開日	2024年10月11日
対象コンポーネント	api open_personality_folder endpoint

パストラバーサルについて

パストラバーサルとは、Webアプリケーションにおける重大な脆弱性の一つで、攻撃者がURL内のパス情報を操作して本来アクセスできない上位ディレクトリのファイルを参照できてしまう問題のことを指す。主な特徴として以下のような点が挙げられる。

ディレクトリトラバーサルとも呼ばれる深刻な脆弱性
「../」などの文字列を使用して上位ディレクトリにアクセス
機密情報の漏洩やシステム全体の危殆化につながる可能性

parisneo/lollms-webuiで発見されたパストラバーサル脆弱性では、api open_personality_folder endpointのpersonality_folderパラメータの不適切な処理が問題となっている。sanitize_pathによる保護が設定されているにもかかわらず、攻撃者は任意のフォルダを読み取ることが可能であり、この脆弱性の深刻さを示している。

lollms-webuiの脆弱性に関する考察

lollms-webuiの脆弱性対応において評価すべき点は、迅速な脆弱性情報の公開と対策版のリリースである。CVSSスコアは中程度であるものの、任意のフォルダ読み取りが可能という性質上、早期の対応が必要不可欠であった。しかし、sanitize_pathが設定されているにもかかわらず脆弱性が存在していた点は、入力値の検証処理の見直しが必要だろう。

今後の課題として、パストラバーサル対策の強化とセキュリティテストの拡充が挙げられる。特にエンドポイントのパラメータ処理については、より厳密な入力値の検証とサニタイズ処理が求められる。また、定期的なセキュリティ監査の実施やペネトレーションテストの導入も検討する必要があるだろう。

将来的には、セキュアコーディングガイドラインの整備やセキュリティチェックリストの作成が望まれる。特にオープンソースプロジェクトとして、コミュニティ全体でセキュリティ意識を高め、脆弱性の早期発見と対策に取り組む体制を構築することが重要だ。継続的なセキュリティ改善の取り組みに期待したい。