Crabbox before 0.9.0 contains a path traversal vulnerability in the Islo provider's workspace...

Web Application

Summary

Crabboxのバージョン0.9.0未満におけるIsloプロバイダのワークスペースパス解決にパストラバーサルの脆弱性があります。攻撃者は意図されたディレクトリ外へのパスを供給し、任意のファイル削除や上書きを行うことが可能です。

❓ What is the problem

CrabboxのIsloプロバイダでのワークスペースパス解決におけるパストラバーサルの脆弱性。

📍 Affected scope

Crabboxのバージョン0.9.0未満のIsloプロバイダ。

🔥 Severity

攻撃者が意図されたディレクトリ外へのパスを供給可能で、重要なファイルの削除や改ざんにつながる可能性があるため。

🔧 How to fix

Crabboxをバージョン0.9.0以降にアップデートする。

🛡️ Workaround

sync.deleteを無効化し、信頼できる設定ファイルのみを使用する。

🔍 Detection

信頼できない設定ファイルが存在していないか確認し、設定でパスが意図しないディレクトリにアクセス可能かどうかを点検する。

Attack Types

Path Traversal

CWE

Cwe 22

CWE-22