HIGHCVE-2023-40517CVSS 7.5

LG SuperSign Media Editor ContentRestController getObject ディレクトリトラバーサルによる情報漏洩の脆弱性

プラットフォーム

other

コンポーネント

lg-supersign-media-editor

修正版

3.11.4

AI Confidence: highNVDEPSS 1.3%レビュー済み: 2026年5月

NVDで見る

保存

LG SuperSign Media EditorのContentRestControllerにディレクトリトラバーサル脆弱性（CVE-2023-40517）が発見されました。この脆弱性は、認証なしでリモート攻撃者が機密情報を開示する可能性があり、セキュリティリスクをもたらします。影響を受けるバージョンは3.11.3_20171108です。最新バージョンへのアップデートにより、この脆弱性は修正されています。

影響と攻撃シナリオ

このディレクトリトラバーサル脆弱性は、攻撃者がファイルパスの検証不足を悪用し、システム上の機密ファイルにアクセスすることを可能にします。攻撃者は、認証なしで任意のファイルシステム上のファイルの内容を読み取ることができ、設定ファイル、ログファイル、またはその他の機密データが漏洩する可能性があります。この情報漏洩は、システム全体のセキュリティを損ない、さらなる攻撃の足がかりとなる可能性があります。攻撃者は、この脆弱性を利用して、システム設定を改ざんしたり、他のシステムに侵入したりする可能性があります。

悪用の状況

CVE-2023-40517は、2024年5月3日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、公開されている脆弱性情報に基づき、攻撃者がこの脆弱性を悪用する可能性は否定できません。CISA KEVリストへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Organizations utilizing LG SuperSign Media Editor for digital signage and media management are at risk, particularly those with older, unpatched installations. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially lead to the disclosure of data belonging to other users.

検出手順翻訳中…

• linux / server:

journalctl -u LGSuperSignMediaEditor | grep -i "directory traversal"

• generic web:

curl -I 'http://<target>/ContentRestController/getObject?path=../../../../etc/passwd'  # Check for 200 OK and sensitive file content in headers

攻撃タイムライン

2024-05-03Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

1.25% (79% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントlg-supersign-media-editor

ベンダーLG

影響範囲修正版

3.11.3_20171108 – 3.11.3_201711083.11.4

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2023-08-14
公開日2024-05-03
更新日2024-08-02
EPSS 更新日2026-04-02

未パッチ — 公開から751日経過

緩和策と回避策

この脆弱性への対応策として、まずLG SuperSign Media Editorを最新バージョンにアップデートすることを推奨します。アップデートが利用できない場合、WAF（Web Application Firewall）を導入し、ディレクトリトラバーサル攻撃を検知・防御するルールを設定することが有効です。また、ファイルアクセス権限を厳格に制限し、不要なファイルへのアクセスを遮断することも重要です。アップデート後、ファイルシステムへの不正アクセスがないか、ログを監視し、確認してください。

修正方法翻訳中…

Actualizar LG SuperSign Media Editor a una versión que corrija la vulnerabilidad de directory traversal. Consultar al proveedor LG para obtener la versión actualizada o aplicar las mitigaciones recomendadas.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2023-40517 — ディレクトリトラバーサルはLG SuperSign Media Editorで何ですか？

CVE-2023-40517は、LG SuperSign Media EditorのContentRestControllerにおけるディレクトリトラバーサル脆弱性です。攻撃者は認証なしで機密情報を開示する可能性があります。

CVE-2023-40517はLG SuperSign Media Editorで影響を受けますか？

はい、バージョン3.11.3_20171108のLG SuperSign Media Editorが影響を受けます。最新バージョンへのアップデートが必要です。

CVE-2023-40517はLG SuperSign Media Editorでどのように修正しますか？

LG SuperSign Media Editorを最新バージョンにアップデートすることで修正できます。アップデートが利用できない場合は、WAFの導入やファイルアクセス権限の制限を検討してください。

CVE-2023-40517は積極的に悪用されていますか？

現時点では、CVE-2023-40517を悪用した具体的な攻撃事例は確認されていませんが、攻撃の可能性は否定できません。

CVE-2023-40517のLG SuperSign Media Editorの公式アドバイザリはどこで入手できますか？

LGのセキュリティアドバイザリページで確認できます。具体的なURLは、LGのサポートサイトでご確認ください。