無料スキャン
HIGHCVE-2024-47769CVSS 7.5

IDURAR にはパス・トラバーサル脆弱性があります (認証されていないユーザーが機密データを読み取れる)

プラットフォーム

nodejs

コンポーネント

idurar-erp-crm

修正版

4.1.1

AI Confidence: highNVDEPSS 1.0%レビュー済み: 2026年5月
NVDで見る
保存

CVE-2024-47769は、IDURAR ERP CRMにおけるPath Traversal脆弱性です。この脆弱性は、認証されていない攻撃者がシステムファイルを読み取れる可能性があり、機密情報の漏洩につながる可能性があります。影響を受けるバージョンは4.1.0以下です。4.1.1へのアップデートで脆弱性が修正されています。

影響と攻撃シナリオ

このPath Traversal脆弱性を悪用すると、攻撃者はURLエンコードされたペイロードを送信することで、IDURAR ERP CRMのファイルシステムにアクセスし、機密情報を盗み出す可能性があります。具体的には、設定ファイル、データベースのバックアップ、ソースコードなどが標的となる可能性があります。攻撃者は、この脆弱性を利用して、システム内の他のサービスへのアクセス権を取得し、横展開攻撃を行う可能性も考えられます。類似の脆弱性は、Webアプリケーションにおけるファイルアップロード機能やファイルアクセス機能で多く見られます。

悪用の状況

この脆弱性は、2024年10月4日に公開されました。現時点では、KEVリストには登録されていません。公開されているPoCは確認されていませんが、Path Traversal脆弱性は一般的に悪用が容易であるため、注意が必要です。NVDおよびCISAの情報を定期的に確認し、最新の情報を把握するようにしてください。

リスク対象者翻訳中…

Organizations utilizing IDURAR ERP CRM, particularly those running version 4.1.0 or earlier, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromise of one user's account could potentially lead to access to other users' data or the entire system.

検出手順翻訳中…

• nodejs / server:

grep -r 'corePublicRouter.js' /var/www/html/

• nodejs / server:

journalctl -u node -f | grep -i "path traversal"

• generic web: Inspect access logs for requests containing suspicious path traversal sequences like ../ or encoded equivalents (e.g., %2e%2e%2f). • generic web: Use curl to attempt path traversal: curl 'http://<target>/../../../../etc/passwd' (expect a 403 or similar error after mitigation).

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

1.00% (77% パーセンタイル)

CISA SSVC

悪用状況poc
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N7.5HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityNone不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
なし — 完全性への影響なし。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントidurar-erp-crm
ベンダーidurar
影響範囲修正版
<= 4.1.0 – <= 4.1.04.1.1

弱点分類 (CWE)

CWE-22CWE-23

タイムライン

  1. 予約済み
  2. 公開日
  3. EPSS 更新日

緩和策と回避策

この脆弱性への対応策として、まずIDURAR ERP CRMをバージョン4.1.1にアップデートすることを推奨します。アップデートが困難な場合は、Webアプリケーションファイアウォール(WAF)やリバースプロキシを設定し、不正なファイルパスへのアクセスをブロックするルールを実装してください。また、入力値の検証を強化し、URLエンコードされた文字列を適切に処理することで、脆弱性の悪用を防止できます。アップデート後、システムログを確認し、不正なアクセスがないか監視してください。

修正方法翻訳中…

Actualice IDURAR ERP CRM a la versión que corrige la vulnerabilidad de path traversal. Consulte el anuncio de seguridad en GitHub para obtener más detalles sobre la versión corregida y las instrucciones de actualización. Como medida temporal, revise y valide las entradas de los usuarios en corePublicRouter.js para evitar la manipulación de rutas.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-47769 — Path Traversal in IDURAR ERP CRMとは何ですか?

CVE-2024-47769は、IDURAR ERP CRM 4.1.0以下のバージョンにおいて、認証されていない攻撃者がファイルパスをトラバースし、システムファイルを読み取れるPath Traversal脆弱性です。

CVE-2024-47769 in IDURAR ERP CRMに影響を受けますか?

IDURAR ERP CRMのバージョンが4.1.0以下の場合、この脆弱性に影響を受ける可能性があります。バージョン4.1.1にアップデートすることで脆弱性を解消できます。

CVE-2024-47769 in IDURAR ERP CRMを修正するにはどうすればよいですか?

IDURAR ERP CRMをバージョン4.1.1にアップデートしてください。アップデートが困難な場合は、WAFなどのセキュリティ対策を講じることを推奨します。

CVE-2024-47769は積極的に悪用されていますか?

現時点では、CVE-2024-47769を悪用した具体的な攻撃事例は確認されていませんが、Path Traversal脆弱性は一般的に悪用が容易であるため、注意が必要です。

CVE-2024-47769に関するIDURARの公式アドバイザリはどこで入手できますか?

IDURARの公式アドバイザリは、IDURARのウェブサイトまたはセキュリティ関連のニュースサイトで確認できます。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索