無料スキャン
HIGHCVE-2024-47556CVSS 8.3

パス・トラバーサルによる事前認証済みリモートコード実行 (Pre-Auth RCE via Path Traversal)

プラットフォーム

other

コンポーネント

freeflow-core

修正版

7.0.11

AI Confidence: highNVDEPSS 0.8%レビュー済み: 2026年5月
NVDで見る
保存

CVE-2024-47556は、FreeFlow Coreのバージョン7.0.0から7.0.11に存在するリモートコード実行(RCE)の脆弱性です。認証なしでパス・トラバーサル攻撃が可能となり、攻撃者はシステム上で任意のコードを実行する可能性があります。この脆弱性は、FreeFlow Coreのバージョン7.0.11で修正されています。影響を受けるシステムは、速やかにアップデートを適用することを推奨します。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者は認証なしでFreeFlow Coreシステムに侵入し、任意のコードを実行できます。これにより、機密情報の窃取、システムの改ざん、さらにはシステム全体の制御奪取といった深刻な被害が発生する可能性があります。攻撃者は、ファイルシステムを自由に探索し、機密情報を含むファイルを読み書きしたり、悪意のあるコードを挿入したりすることが可能です。この脆弱性は、類似のパス・トラバーサル脆弱性と同様に、広範囲なシステムへの影響を及ぼす可能性があります。

悪用の状況

CVE-2024-47556は、2024年10月7日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性であるため、早期に悪用コードが出現する可能性があります。CISAのKEVリストへの登録状況は不明です。NVDデータベースも参照し、最新の情報を確認してください。

リスク対象者翻訳中…

Organizations utilizing FreeFlow Core in environments with limited network security controls are particularly at risk. Systems exposed directly to the internet or those with weak perimeter defenses are especially vulnerable. Any deployment of FreeFlow Core versions 7.0.0 through 7.0.11 should be considered at risk.

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.75% (73% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響total

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H8.3HIGHAttack VectorAdjacent攻撃者がターゲットに到達する方法Attack ComplexityHigh悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
隣接 — 同一LAN・Bluetooth・ローカル無線セグメントへの近接が必要。
Attack Complexity
高 — 競合条件、非標準設定、または特定の状況が必要。悪用が難しい。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントfreeflow-core
ベンダーXerox
影響範囲修正版
7.0.x – 7.0.117.0.11

弱点分類 (CWE)

CWE-22

タイムライン

  1. 予約済み
  2. 公開日
  3. EPSS 更新日

緩和策と回避策

FreeFlow Coreのバージョンを7.0.11以上にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートが困難な場合は、一時的な緩和策として、FreeFlow Coreへの外部からのアクセスを制限するファイアウォールルールを実装したり、アクセス制御リスト(ACL)を適切に設定したりすることを検討してください。また、不正なファイルアクセスを検知するための監視システムを導入し、異常なアクティビティを早期に発見することも重要です。アップデート後、FreeFlow Coreのログを監視し、不審なアクセスがないか確認してください。

修正方法翻訳中…

Actualice Xerox FreeFlow Core a la versión 7.0.11 o posterior. Esta actualización corrige la vulnerabilidad de recorrido de ruta que permite la ejecución remota de código sin autenticación. Consulte el boletín de seguridad de Xerox para obtener más detalles e instrucciones de actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-47556 — RCE in FreeFlow Coreとは何ですか?

CVE-2024-47556は、FreeFlow Coreのバージョン7.0.0~7.0.11における認証なしのリモートコード実行(RCE)脆弱性です。パス・トラバーサルを悪用され、攻撃者が任意のコードを実行する可能性があります。

CVE-2024-47556 in FreeFlow Coreの影響はありますか?

FreeFlow Coreのバージョン7.0.0~7.0.11を使用している場合、この脆弱性の影響を受ける可能性があります。攻撃者は、認証なしでシステムに侵入し、任意のコードを実行する可能性があります。

CVE-2024-47556 in FreeFlow Coreを修正するにはどうすればよいですか?

FreeFlow Coreのバージョンを7.0.11以上にアップデートすることで、この脆弱性を修正できます。アップデートが困難な場合は、一時的な緩和策として、アクセス制限や監視システムの導入を検討してください。

CVE-2024-47556は積極的に悪用されていますか?

現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性であるため、早期に悪用コードが出現する可能性があります。

CVE-2024-47556のFreeFlow Core公式アドバイザリはどこで入手できますか?

FreeFlow Coreの公式アドバイザリは、FreeFlow Coreのサポートサイトまたはセキュリティ情報ページで確認できます。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索