セキュリティ

SECURITY

公開：2024-12-09

【CVE-2024-11680】ProjectSendでr1720より前のバージョンに認証バイパスの脆弱性、設定変更やアカウント作成が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ProjectSendにr1720より前のバージョンで認証バイパスの脆弱性
• 不正なHTTPリクエストによる設定変更が可能に
• アカウント作成やWebシェルのアップロードなどの攻撃が実行可能

ProjectSendのr1720未満のバージョンで認証バイパスの脆弱性が発覚

ProjectSendは2024年11月26日、r1720より前のバージョンにおいて認証バイパスの脆弱性【CVE-2024-11680】が存在することを公開した。この脆弱性は不適切な認証処理に起因しており、リモートからの認証されていない攻撃者がoptions.phpに不正なHTTPリクエストを送信することでアプリケーションの設定を変更できる状態にあることが判明している。^[1]

CISAの評価によると、この脆弱性はCVSS 3.1で基本値9.8のクリティカルな深刻度に分類されており、攻撃者は特別な権限や利用者の操作を必要とせずに攻撃を実行できる状態にある。また、攻撃が成功した場合、不正なアカウントの作成やWebシェルのアップロード、悪意のあるJavaScriptの埋め込みなど、深刻な被害が発生する可能性が指摘されている。

脆弱性の修正はGitHubのコミットID「193367d937b1a59ed5b68dd4e60bd53317473744」で既に実施されており、Rapid7のMetasploit Frameworkにもこの脆弱性を利用した攻撃モジュールが追加されている。また、Project Discoveryのnuclei-templatesにも検証用のテンプレートが公開され、VulnCheckからも詳細な advisory が発行されている。

ProjectSendの脆弱性詳細まとめ

不適切な認証について

不適切な認証とは、システムやアプリケーションにおいて、ユーザーの本人確認プロセスが適切に実装されていない状態を指す。主な特徴として、以下のような点が挙げられる。

• 認証処理の検証が不十分または欠如している状態
• 認証をバイパスして不正アクセスが可能になる状態
• 認証情報の検証が不適切に実装されている状態

ProjectSendの脆弱性では、options.phpへのHTTPリクエストに対する認証処理が不適切であったため、未認証の攻撃者がアプリケーションの設定を変更可能な状態となっていた。この種の脆弱性は、攻撃者が正規ユーザーとして振る舞うことを可能にし、システムの整合性や機密性に重大な影響を及ぼす可能性がある。

ProjectSend r1720の脆弱性に関する考察

ProjectSendの認証バイパス脆弱性が発見されたことは、オープンソースソフトウェアにおけるセキュリティ検証の重要性を再認識させる機会となった。この脆弱性は認証処理という基本的な部分に存在していたにもかかわらず、長期間にわたって見過ごされてきた可能性があり、同様の脆弱性が他のソフトウェアにも潜在している可能性を示唆している。

今後の課題として、オープンソースプロジェクトにおけるセキュリティレビューの強化と、定期的な脆弱性診断の実施が挙げられる。特に認証やアクセス制御などの重要な機能については、実装段階での慎重な設計と、リリース前の徹底的なセキュリティテストが必要になるだろう。

また、この事例を通じて、CISAやVulnCheckなどのセキュリティ組織による脆弱性の早期発見と情報共有の重要性も明らかになった。今後はセキュリティ組織とオープンソースコミュニティの連携をさらに強化し、脆弱性の発見から修正までのプロセスを効率化することが期待される。

参考サイト

1. ^ CVE. 「CVE-2024-11680 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-11680, (参照 24-12-09).
2. Meta. https://about.meta.com/ja/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧