プラットフォーム
other
コンポーネント
crystal-live-http-server
CVE-2019-25352は、Crystal Live HTTP ServerにおいてPath Traversal脆弱性が存在することが判明しました。この脆弱性を悪用されると、攻撃者はURLパスを操作することで、本来アクセスできないシステムファイルにアクセスし、機密情報を窃取する可能性があります。影響を受けるバージョンは6.01です。最新バージョンへのアップデートまたは適切な緩和策の適用が推奨されます。
このPath Traversal脆弱性は、攻撃者がCrystal Live HTTP Serverをホストするシステム上で任意のファイルへのアクセスを可能にします。攻撃者は、URLに複数の「../」シーケンスを挿入することで、Webルートの外に移動し、Windowsシステムファイルなどの機密情報を取得する可能性があります。例えば、設定ファイルからデータベースの認証情報やAPIキーを盗み出すことが考えられます。この脆弱性の悪用により、システム全体の機密性が損なわれ、さらなる攻撃への踏み台として利用されるリスクも存在します。
この脆弱性は、公開されており、悪用される可能性があります。現時点では、KEVに登録されていませんが、Path Traversal脆弱性は一般的に悪用される傾向にあります。攻撃者は、脆弱性スキャナを使用して脆弱なシステムを特定し、自動的に攻撃を試みる可能性があります。NVDおよびCISAの公開日は2026-02-18です。
Systems utilizing Crystal Live HTTP Server version 6.01–6.01, particularly those deployed in environments with limited network segmentation or exposed to the internet, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable.
disclosure
エクスプロイト状況
EPSS
0.46% (64% パーセンタイル)
CISA SSVC
CVSS ベクトル
Crystal Live HTTP Serverのアップデートが最も効果的な対策です。アップデートが困難な場合は、Webアプリケーションファイアウォール(WAF)を導入し、Path Traversal攻撃を検知・防御するルールを設定してください。また、アクセス制御リスト(ACL)を適切に設定し、Webルート以外のファイルへのアクセスを制限することも有効です。ファイルシステムの監視を強化し、不正なファイルアクセスを早期に検知することも重要です。アップデート後、アクセスログを監視し、異常なアクセスがないか確認してください。
パス・トラバーサル脆弱性を修正した Crystal Live HTTP Server のパッチバージョンにアップデートしてください。利用可能なバージョンがない場合は、サービスを無効にするか、機密ファイルへのアクセス制限やURL入力の検証など、追加のセキュリティ対策を実装することを検討してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2019-25352は、Crystal Live HTTP Server 6.01において、URLパスを操作することでシステムファイルに不正にアクセスできるPath Traversal脆弱性です。
はい、影響があります。攻撃者は機密情報を窃取したり、システムを制御したりする可能性があります。
Crystal Live HTTP Serverを最新バージョンにアップデートしてください。アップデートが難しい場合は、WAFの導入やアクセス制御リストの設定などの緩和策を検討してください。
公開されているため、悪用される可能性があります。
Crystal Live HTTP Serverの公式ウェブサイトまたは関連するセキュリティコミュニティで確認してください。