セキュリティ

SECURITY

公開：2024-11-22

【CVE-2024-52292】Craft CMSにおけるシステムファイル読み取りの脆弱性、深刻度Highの対応が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Craftでシステムファイル読み取りの脆弱性が発見
• Base64エンコードによるファイル内容の漏洩が可能
• バージョン5.4.9と4.12.8で修正完了

CraftのCMS脆弱性によるファイル読み取りの危険性

Craftは2024年11月13日、コンテンツ管理システムに存在する重大な脆弱性【CVE-2024-52292】を公開した。システム通知テンプレートに対する書き込み権限を持つ攻撃者が、dataUrl関数を悪用して任意のシステムファイルを読み取ることが可能になっており、Base64エンコードされたファイル内容がメール通知を介して外部に漏洩する危険性が指摘されている。^[1]

この脆弱性は、絶対パスでのファイルアクセスが可能なdataUrl関数の仕様に起因しており、システム通知テンプレートを介してファイル内容をBase64形式でエンコードし、メール通知経由で外部に送信することができる仕組みとなっていた。攻撃者はこの手法を用いることで、サーバー上の機密情報を含む任意のファイルを読み取ることが可能になっている。

脆弱性の深刻度は、CVSSスコアで7.7（High）と評価されており、ネットワークからのアクセスが可能で攻撃の複雑さも低いとされている。影響を受けるバージョンは、5.0.0-alpha.1から5.4.9未満、および3.5.13から4.12.8未満のすべてのバージョンとなっており、早急なアップデートが推奨されている。

Craft CMSの脆弱性影響範囲まとめ

パストラバーサルについて

パストラバーサル（Path Traversal）とは、Webアプリケーションにおけるセキュリティ脆弱性の一種で、攻撃者が意図しないディレクトリやファイルにアクセスできてしまう問題のことを指す。主な特徴として以下のような点が挙げられる。

• ディレクトリ階層を遡って制限外のファイルにアクセス可能
• サーバー上の重要な設定ファイルや機密情報が漏洩する危険性
• 相対パスや絶対パスを使用した不正なアクセスが可能

Craftの脆弱性では、dataUrl関数が適切なパス制限を実装していなかったため、システム通知テンプレートを介して任意のファイルパスを指定できる状態となっていた。Base64エンコードされたファイル内容がメール通知として送信される仕組みと組み合わさることで、深刻な情報漏洩の脆弱性となっている。

Craft CMSの脆弱性に関する考察

Craftの脆弱性対応における迅速なパッチリリースは評価できる一方で、システム通知テンプレートという重要な機能にセキュリティ上の欠陥が存在していた点は深刻な問題として捉える必要がある。特にdataUrl関数の実装における入力値の検証が不十分であったことは、今後のセキュリティ設計において重要な教訓となるだろう。

今後は同様の脆弱性を防ぐため、ファイルアクセスに関する権限管理の強化やパス検証の厳格化が求められる。特にシステム通知テンプレートのような管理者権限を必要とする機能については、より慎重なセキュリティ設計とコードレビューが必要となってくるだろう。

また、Base64エンコードを使用したデータ送信の仕組みについても、セキュリティの観点から見直しが必要かもしれない。システム通知機能の利便性を損なわずにセキュリティを向上させる方法として、ファイルアクセスの範囲制限やコンテンツの暗号化などの追加対策が望まれる。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-52292, (参照 24-11-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧