【CVE-2024-11239】Landray EKP 16.0にパストラバーサルの脆弱性、既にエクスプロイトコード公開で対応急務に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Landray EKP 16.0までにパストラバーサルの脆弱性が発見
deleteFile関数でパス操作による攻撃が可能に
CVSSスコア5.3-5.5の中程度の深刻度と評価

Landray EKP 16.0のパストラバーサル脆弱性

2024年11月15日、Landray EKP 16.0以下のバージョンにおいて、API Interfaceのimport.doのdeleteFile関数にパストラバーサルの脆弱性が発見されたことが公開された。この脆弱性は【CVE-2024-11239】として識別されており、folderパラメータの操作によってパストラバーサルが可能となることが判明している。^[1]

この脆弱性はリモートから攻撃可能であり、CVSSスコアはバージョン4.0で5.3、バージョン3.1および3.0で5.4という中程度の深刻度と評価されている。エクスプロイトコードは既に公開されており、ベンダーへの早期通知も行われたが返答は得られていない状況だ。

脆弱性の種類はCWE-22に分類されるパストラバーサルであり、攻撃者は低い特権レベルで攻撃を実行できる可能性がある。認証されたユーザーによる攻撃が想定され、整合性と可用性への影響が懸念されている。

Landray EKP 16.0の脆弱性詳細

項目	詳細
CVE番号	CVE-2024-11239
影響を受けるバージョン	Landray EKP 16.0以下
脆弱性の種類	パストラバーサル (CWE-22)
CVSSスコア(v4.0)	5.3 (MEDIUM)
攻撃条件	リモートからの攻撃が可能、低い特権レベルで実行可能

パストラバーサルについて

パストラバーサルとは、ファイルシステムへのアクセスを制御するセキュリティ機能を迂回して、本来アクセスできないディレクトリやファイルにアクセスする攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

ディレクトリトラバーサル文字列を使用して上位ディレクトリへ移動
重要なシステムファイルへの不正アクセスが可能
Webアプリケーションの設定ミスや入力値の検証不備が原因

Landray EKP 16.0の脆弱性では、deleteFile関数のfolderパラメータを操作することでパストラバーサルが可能となっている。攻撃者はこの脆弱性を悪用して、本来アクセスできないファイルシステムの領域にアクセスし、重要なファイルを操作または削除できる可能性がある。

Landray EKP 16.0の脆弱性に関する考察

Landray EKP 16.0の脆弱性はCVSSスコアこそ中程度だが、既にエクスプロイトコードが公開されている点は深刻な問題である。特にベンダーからの応答がない状況下では、ユーザー側で独自のセキュリティ対策を講じる必要性が高まっている。当面の対策として、アクセス権限の厳格な管理やWAFの導入を検討すべきだろう。

今後同様の脆弱性を防ぐためには、開発段階でのセキュリティレビューの強化が不可欠となる。特にファイル操作に関する処理では、ユーザー入力値の厳密なバリデーションとサニタイズ処理の実装が重要となってくる。また、セキュリティ研究者からの報告に対する迅速な対応体制の構築も必要だろう。

この事例は、オープンソースソフトウェアのセキュリティ管理の重要性を改めて浮き彫りにした。今後はセキュリティ重視の開発プロセスの確立とともに、脆弱性報告への対応プロセスの整備が求められる。パッチ適用の自動化や定期的なセキュリティ監査の実施も検討に値するだろう。