Crabbox before 0.9.0 contains a path traversal vulnerability in the Islo provider's workspace...

Webアプリケーション

概要

Crabboxのバージョン0.9.0未満におけるIsloプロバイダのワークスペースパス解決にパストラバーサルの脆弱性があります。攻撃者は意図されたディレクトリ外へのパスを供給し、任意のファイル削除や上書きを行うことが可能です。

❓ 何が問題か

CrabboxのIsloプロバイダでのワークスペースパス解決におけるパストラバーサルの脆弱性。

📍 影響範囲

Crabboxのバージョン0.9.0未満のIsloプロバイダ。

🔥 重要度

攻撃者が意図されたディレクトリ外へのパスを供給可能で、重要なファイルの削除や改ざんにつながる可能性があるため。

🔧 修正方法

Crabboxをバージョン0.9.0以降にアップデートする。

🛡️ 暫定回避

sync.deleteを無効化し、信頼できる設定ファイルのみを使用する。

🔍 検知方法

信頼できない設定ファイルが存在していないか確認し、設定でパスが意図しないディレクトリにアクセス可能かどうかを点検する。

攻撃タイプ

パストラバーサル

CWE

CWE-22: パストラバーサル

CWE-22