セキュリティ

SECURITY

公開：2024-11-21

【CVE-2024-52293】CraftのパストラバーサルとTwig SSTI脆弱性、深刻なリモートコード実行の可能性が判明

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Craftに脆弱性が発見され、パスの正規化が欠如
• CMS内でリモートコード実行の可能性が判明
• バージョン4.12.2と5.4.3でセキュリティ修正

CraftのパスチェックとTwig SSTIの脆弱性

コンテンツ管理システム（CMS）であるCraftにおいて、バージョン4.12.2と5.4.3より前のバージョンでFileHelperのabsolutePathにパス正規化機能が欠如していることが判明し、2024年11月13日に情報が公開された。この脆弱性【CVE-2024-52293】は、Twig SSTIを介したサーバ上でのリモートコード実行につながる可能性があり、CVE-2023-40035の後続の問題として特定されている。^[1]

この脆弱性は、CVSSスコア7.2（High）と評価されており、攻撃元区分はネットワークで攻撃条件の複雑さは低いとされている。攻撃には高い特権が必要だが利用者のインタラクションは不要とされており、機密性や完全性、可用性への影響が高いと判断されたのだ。

影響を受けるバージョンは、Craft 4.0.0-RC1から4.12.2未満、および5.0.0-RC1から5.4.3未満となっている。GitHubのセキュリティアドバイザリーでは、この問題に対する修正コミットが公開され、影響を受けるユーザーに対して最新バージョンへのアップデートを推奨している。

Craft CMSの脆弱性概要

パストラバーサルについて

パストラバーサルとは、Webアプリケーションにおいてファイルパスの処理が適切に制限されていない脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 制限されたディレクトリの外部にあるファイルへのアクセスが可能
• システムの重要なファイルが漏洩するリスクがある
• 不正なファイル操作によってシステムが危険にさらされる

CraftのFileHelper::absolutePath関数におけるパス正規化の欠如は、典型的なパストラバーサルの脆弱性として確認されている。この問題はTwig Server-Side Template Injection（SSTI）と組み合わさることで、攻撃者がサーバ上で任意のコードを実行できる深刻な脆弱性となっている。

Craft CMSの脆弱性に関する考察

Craft CMSの脆弱性が発見されたことは、コンテンツ管理システムのセキュリティ管理における重要な教訓となっている。特にパス正規化の実装が不十分であったことは、基本的なセキュリティチェックの重要性を改めて示すこととなった。今後はより厳密なコードレビューとセキュリティテストの実施が必要となるだろう。

この脆弱性は過去に修正されたCVE-2023-40035の後続問題として発見されており、類似の脆弱性が再発するリスクが懸念される。セキュリティパッチの適用範囲を広げ、関連する機能全体を包括的に見直すことで、同様の問題の再発を防ぐ必要がある。開発者コミュニティとの連携強化も重要となるはずだ。

今後はAIを活用したコード解析やセキュリティチェックの導入が望まれる。自動化されたセキュリティスキャンと人間による詳細なコードレビューを組み合わせることで、より堅牢なセキュリティ体制を構築できるはずだ。継続的なセキュリティ教育と意識向上も不可欠である。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-52293, (参照 24-11-21).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧