awkblogにおけるOSコマンドインジェクションの脆弱性（JVN#80506242）

LAC Advisory No.136

デジタルペンテスト部の山崎です。

プログラミング言語awkで書かれたブログシステム「awkblog」に、悪意ある第三者によって認証なしに任意のOSコマンドが実行されてしまう脆弱性を発見しました。2024年2月15日にIPAに届出をおこない、2024年5月30日にJVNにて公表されました。

影響を受けるシステム

awkblog v0.0.1（commit hash:7b761b192d0e0dc3eef0f30630e00ece01c8d552）およびそれ以前のバージョン

Keisuke Nakayama氏が提供するawkblogには、OSコマンドインジェクション（CWE-78）の脆弱性が存在します。悪意ある第三者によって細工されたHTTPリクエストを送信され、当該製品を実行するマシン上において、当該製品の権限で任意のOSコマンドを実行される可能性があります。

脆弱性の現在の深刻度を評価するCVSSは以下の通りです。

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8

開発者が提供する情報をもとにパッチを適用してください。開発者は本脆弱性の対策として次のパッチをリリースしています。

awkblog v0.0.2（commit hash:13f62021258f7256f1567c4bb5fa6bddcfccde72）

山崎圭吾（株式会社ラック技術統括部/ニューリジェンセキュリティ株式会社）

本脆弱性は、情報セキュリティ早期警戒パートナーシップに基づき、ラックからIPAに報告し、JPCERT/CCによって開発者との調整が行われました。

CVE-2024-36360（https://www.cve.org/CVERecord?id=CVE-2024-36360）

この記事をシェアする

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

この記事は役に立ちましたか？

はいいいえ