セキュリティ

SECURITY

公開：2024-11-22

【CVE-2024-52291】CraftCMSに重大な脆弱性、ファイルシステム検証バイパスによる深刻な影響の可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• CraftCMSに深刻な脆弱性が発見
• ファイルシステムの検証をバイパス可能
• 管理者アカウントで悪用される可能性

CraftCMS 4.12.5および5.4.6における重大な脆弱性

2024年11月13日、GitHubのセキュリティアドバイザリーにてCraftCMSの重大な脆弱性【CVE-2024-52291】が公開された。CraftCMSのローカルファイルシステムの検証機能において、二重のfile://スキームを利用することで検証をバイパスできる脆弱性が発見され、管理者権限を持つアカウントによって悪用される可能性が指摘されている。^[1]

この脆弱性は、バージョン5.0.0-RC1から5.4.6未満およびバージョン4.0.0-RC1から4.12.5未満のCraftCMSに影響を及ぼすことが確認されており、攻撃者が悪意のあるファイルをアップロードすることで重要なファイルを上書きできる可能性がある。特に管理者権限とallowAdminChangesが有効な状態で、Server-Side Template Injectionを介したリモートコード実行の危険性も指摘されている。

この脆弱性のCVSSスコアは8.5と高く評価されており、攻撃の複雑さは低いものの管理者権限が必要とされている。攻撃が成功した場合、機密性・整合性・可用性のすべてに重大な影響を及ぼす可能性があるため、早急なアップデートが推奨されている。

CraftCMS脆弱性の影響範囲まとめ

Server-Side Template Injectionについて

Server-Side Template Injection（SSTI）とは、Webアプリケーションのテンプレートエンジンを悪用して不正なコードを実行する攻撃手法のことを指す。以下のような特徴が挙げられる。

• テンプレートエンジンの構文を利用して任意のコードを注入
• サーバー側で実行されるため影響が深刻
• 権限昇格やリモートコード実行につながる可能性

Server-Side Template Injectionは、CraftCMSの脆弱性と組み合わさることで特に危険な状態となる可能性がある。管理者権限とallowAdminChangesが有効な状態で、ファイルシステムの検証をバイパスされた場合、悪意のあるテンプレートを通じてサーバー上で任意のコードが実行される危険性が指摘されている。

CraftCMSの脆弱性に関する考察

CraftCMSの脆弱性対策として、バージョン5.4.6および4.12.5への即時アップデートが最も効果的な対応策となる。管理者権限の厳格な管理やallowAdminChangesの必要時のみの有効化など、アクセス制御の強化も重要な対策として挙げられるだろう。

今後はファイルシステムの検証機能における二重スキーム対策や、テンプレートエンジンのセキュリティ強化が求められる。特にServer-Side Template Injectionへの対策として、テンプレート構文の厳格な検証やサンドボックス化などの実装が期待される。

CraftCMSのような広く利用されているCMSにおける脆弱性は、多くのWebサイトに影響を及ぼす可能性がある。開発者コミュニティとの連携を強化し、脆弱性の早期発見と迅速な対応体制の構築が望まれる。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-52291, (参照 24-11-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧