HIGHCVE-2020-37034CVSS 7.5

HelloWeb 2.0 - 任意のファイルダウンロード

プラットフォーム

other

コンポーネント

helloweb

修正版

2.0.1

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2020-37034は、HelloWeb 2.0に存在する任意ファイルアクセス脆弱性です。この脆弱性を悪用されると、攻撃者はシステムファイルにアクセスし、機密情報を盗み出す可能性があります。影響を受けるバージョンはHelloWeb 2.0のみです。ベンダーは最新バージョンへのアップデートを推奨しています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がHelloWebのWebインターフェースに送信するHTTP GETリクエストを操作することで、システムファイルへのアクセスを可能にします。具体的には、download.aspにディレクトリトラバーサルシーケンス（例：../..)を付加することで、Webサーバーのルートディレクトリ外のファイルにアクセスできます。これにより、設定ファイル、ソースコード、データベース接続情報などの機密情報が漏洩するリスクがあります。攻撃者は、これらの情報を利用してシステムを完全に制御したり、他のシステムへの攻撃の足がかりにしたりする可能性があります。

悪用の状況

この脆弱性は、2026年1月30日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、ディレクトリトラバーサル攻撃は一般的な攻撃手法であり、悪用される可能性は否定できません。CISA KEVリストには登録されていません。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Systems running HelloWeb version 2.0 are directly at risk. Shared hosting environments where multiple users share the same web server instance are particularly vulnerable, as an attacker exploiting this vulnerability on one user's account could potentially access files belonging to other users on the same server.

検出手順翻訳中…

• generic web: Use curl to test the download.asp endpoint with directory traversal sequences (e.g., curl 'download.asp?filepath=../../../../etc/passwd&filename=passwd'). • generic web: Examine access logs for requests to download.asp containing ../ or other directory traversal sequences in the filepath or filename parameters. • generic web: Check response headers for unexpected content types or file extensions when accessing download.asp with crafted parameters.

攻撃タイムライン

2026-01-30Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.21% (43% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントhelloweb

ベンダーHELLOWEB

影響範囲修正版

2.0 – 2.02.0.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-01-28
公開日2026-01-30
更新日2026-02-02
EPSS 更新日2026-03-23

未パッチ — 公開から114日経過

緩和策と回避策

この脆弱性に対する最も効果的な対策は、HelloWebを最新バージョンにアップデートすることです。アップデートがすぐに利用できない場合は、Webアプリケーションファイアウォール（WAF）を使用して、ディレクトリトラバーサル攻撃をブロックすることを検討してください。また、download.aspへのアクセスを制限する設定変更や、ファイルアクセス権限の強化も有効な対策となります。アクセスログを監視し、不審なアクセスパターンを検出することも重要です。

修正方法翻訳中…

Actualizar a una versión parcheada o descontinuar el uso de HelloWeb 2.0. Como medida temporal, se puede implementar una validación exhaustiva de las entradas de usuario en los parámetros filepath y filename para prevenir el acceso a archivos no autorizados.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2020-37034 — 任意ファイルアクセス in HelloWebとは何ですか？

CVE-2020-37034は、HelloWeb 2.0における、攻撃者がディレクトリトラバーサルを利用してシステムファイルにアクセスできる脆弱性です。

CVE-2020-37034 in HelloWebに影響を受けますか？

HelloWebのバージョンが2.0の場合、この脆弱性に影響を受ける可能性があります。最新バージョンへのアップデートを推奨します。

CVE-2020-37034 in HelloWebを修正するにはどうすればよいですか？

HelloWebを最新バージョンにアップデートしてください。アップデートが利用できない場合は、WAFの設定やファイルアクセス権限の強化などの対策を講じてください。

CVE-2020-37034は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、悪用される可能性は否定できません。

CVE-2020-37034に関するHelloWebの公式アドバイザリはどこで入手できますか？

HelloWebの公式ウェブサイトでアドバイザリをご確認ください。