CRITICALCVE-2020-15124CVSS 9.6

Goobi viewer Core におけるパス・トラバーサル

Q: CVE-2020-15124 — パス・トラバーサル脆弱性はGoobi Viewer Coreで何ですか？

CVE-2020-15124は、Goobi Viewer Coreのバージョン4.8.3以前におけるパス・トラバーサル脆弱性であり、攻撃者がサーバー上のファイルにアクセスできる可能性があります。

Q: CVE-2020-15124でGoobi Viewer Coreを使用していますか？

Goobi Viewer Coreのバージョンが4.8.3以前の場合、この脆弱性の影響を受ける可能性があります。バージョンを確認し、必要に応じてアップデートしてください。

Q: CVE-2020-15124でGoobi Viewer Coreを修正するにはどうすればよいですか？

Goobi Viewer Coreをバージョン4.8.3にアップデートすることで、この脆弱性を修正できます。

Q: CVE-2020-15124は積極的に悪用されていますか？

現時点で、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、注意が必要です。

Q: CVE-2020-15124のGoobi Viewer Coreの公式アドバイザリはどこで入手できますか？

Goobi Viewer Coreの公式アドバイザリについては、Goobiプロジェクトのウェブサイトで確認してください。

プラットフォーム

java

コンポーネント

goobi-viewer-core

修正版

4.8.4

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

Goobi Viewer Coreのバージョン4.8.3以前には、パス・トラバーサル脆弱性が存在します。この脆弱性を悪用されると、攻撃者はアプリケーションサーバーのユーザー（例：tomcat）がアクセス可能なサーバー上のファイルにリモートからアクセスできる可能性があります。影響を受けるバージョンは4.8.3以前です。バージョン4.8.3へのアップデートでこの問題は修正されています。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性は、攻撃者がGoobi Viewer Coreが実行されているサーバー上のファイルシステムを探索することを可能にします。攻撃者は、アプリケーションサーバーのユーザーアカウントがアクセスできるファイルにアクセスし、機密情報を盗み出す可能性があります。例えば、設定ファイル、ログファイル、またはその他の機密データが含まれる可能性があります。攻撃者は、この脆弱性を利用して、サーバー上の他のアプリケーションやサービスへのアクセス権を取得し、攻撃範囲を拡大する可能性もあります。この脆弱性は、サーバーのセキュリティを著しく損なう可能性があります。

悪用の状況

この脆弱性は、2020年7月22日に公開されました。現時点で、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Organizations utilizing Goobi Viewer Core in production environments, particularly those with sensitive data stored on the server, are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a compromised Goobi Viewer Core instance could potentially expose data belonging to other users.

検出手順翻訳中…

• java / server:

find /var/lib/tomcat/webapps/goobi-viewer-core/ -name "*.properties"

• generic web:

curl -I 'http://your-goobi-viewer-core-url/../../../../etc/passwd' # Check for file disclosure

攻撃タイムライン

2020-07-22Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.19% (40% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントgoobi-viewer-core

ベンダーintranda

影響範囲修正版

< 4.8.3 – < 4.8.34.8.4

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2020-06-25
公開日2020-07-22
更新日2024-08-04
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、Goobi Viewer Coreをバージョン4.8.3にアップデートすることです。アップデートが利用できない場合、アプリケーションサーバーのユーザーアカウントの権限を最小限に抑えることで、攻撃の影響を軽減できます。また、WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃を検知・防御するルールを設定することも有効です。アクセスログを監視し、異常なファイルアクセスを検出することも重要です。アップデート後、アプリケーションを再起動し、バージョンが4.8.3になっていることを確認してください。

修正方法

Goobi Viewer Core をバージョン 4.8.3 以降にアップデートしてください。このバージョンにはパス・トラバーサル脆弱性の修正が含まれています。アップデートは、ベンダーのウェブサイトから新しいバージョンをダウンロードし、提供されている手順に従ってインストールすることで実行できます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2020-15124 — パス・トラバーサル脆弱性はGoobi Viewer Coreで何ですか？