CRITICALCVE-2022-1770CVSS 9.9

polonel/trudeskにおける不適切な権限管理

プラットフォーム

nodejs

コンポーネント

trudesk

修正版

1.2.2

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2022-1770は、GitHubリポジトリpolonel/trudeskのバージョン1.2.2以前に存在する、不適切な権限管理の脆弱性です。この脆弱性を悪用されると、攻撃者は権限昇格を試み、システムへの不正アクセスや機密情報の窃取につながる可能性があります。影響を受けるバージョンは1.2.2以前であり、バージョン1.2.2へのアップデートで脆弱性が修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がtrudeskアプリケーション内の権限を昇格させ、本来アクセスできないリソースにアクセスすることを可能にします。具体的には、機密情報（ユーザーデータ、設定ファイルなど）の窃取、システム設定の変更、さらにはシステム全体の制御奪取といった攻撃が考えられます。権限昇格に成功した場合、攻撃者はtrudeskアプリケーションを通じて、バックエンドシステムへのアクセスを試み、より広範囲な被害をもたらす可能性があります。この脆弱性は、特権昇格の可能性から、重大なセキュリティリスクをもたらします。

悪用の状況

CVE-2022-1770は、2022年5月20日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、CVSSスコアがCRITICALであることから、攻撃者による悪用が懸念されます。公開されている情報に基づき、攻撃者はこの脆弱性を利用して、trudeskアプリケーション内の権限を昇格させ、機密情報への不正アクセスを試みる可能性があります。今後の動向を注視し、適切な対策を講じる必要があります。

リスク対象者翻訳中…

Organizations utilizing Trudesk in production environments, particularly those with limited access controls or legacy configurations, are at significant risk. Shared hosting environments where multiple users share the same Trudesk instance are also particularly vulnerable, as a compromise of one user could potentially lead to privilege escalation for others.

検出手順翻訳中…

• nodejs / server:

  ps aux | grep trudesk
  journalctl -u trudesk | grep -i error

• generic web:

  curl -I http://your-trudesk-instance/admin  # Check for admin endpoint exposure
  grep -r 'polonel/trudesk' /var/log/apache2/access.log # Look for suspicious access patterns

攻撃タイムライン

2022-05-20Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.31% (54% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントtrudesk

ベンダーpolonel

影響範囲修正版

unspecified – 1.2.21.2.2

弱点分類 (CWE)

CWE-269

タイムライン

予約済み2022-05-17
公開日2022-05-20
更新日2024-08-03
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、trudeskをバージョン1.2.2にアップデートすることです。アップデートが直ちに実行できない場合は、アクセス制御の強化を検討してください。例えば、trudeskアプリケーションへのアクセスを最小限のユーザーに制限し、不要な権限を削除することで、攻撃の影響範囲を限定できます。また、WAF（Web Application Firewall）を導入し、不審なアクセスパターンを検知・遮断することも有効です。trudeskのログを定期的に監視し、異常なアクティビティがないか確認することも重要です。アップデート後、アプリケーションの動作を確認し、権限設定が適切であることを確認してください。

修正方法

trudeskをバージョン1.2.2以降にアップデートしてください。このバージョンには、不適切な権限管理に対する修正が含まれています。アップデートは、管理パネル経由、またはリポジトリから最新バージョンをダウンロードしてファイルを置き換えることで実行できます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2022-1770 — 不適切な権限管理 in trudeskとは何ですか？

CVE-2022-1770は、trudeskのバージョン1.2.2以前に存在する、不適切な権限管理の脆弱性です。攻撃者はこの脆弱性を悪用して、権限昇格を試み、システムへの不正アクセスや機密情報の窃取につながる可能性があります。

CVE-2022-1770 in trudeskで影響を受けますか？

trudeskのバージョンが1.2.2以前の場合は、この脆弱性の影響を受けます。バージョン1.2.2にアップデートすることで、脆弱性を解消できます。

CVE-2022-1770 in trudeskを修正するにはどうすればよいですか？

trudeskをバージョン1.2.2にアップデートすることで、この脆弱性を修正できます。アップデートが直ちに実行できない場合は、アクセス制御の強化などの緩和策を検討してください。

CVE-2022-1770は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、CVSSスコアがCRITICALであることから、攻撃者による悪用が懸念されます。

CVE-2022-1770に関するtrudeskの公式アドバイザリはどこで入手できますか？

trudeskの公式アドバイザリは、GitHubリポジトリpolonel/trudeskのリリースノートで確認できます。