Helix Syncのバージョン0.0.0から2024.1までのバージョンに、ローカルコマンドインジェクションの脆弱性が存在します。この脆弱性を悪用されると、攻撃者はシステム上で任意のコマンドを実行し、機密情報を窃取したり、システムを制御したりする可能性があります。2024年2月1日に公開され、2024.1で修正されています。
この脆弱性は、ローカル環境で実行されるプロセスを通じて悪用される可能性があります。攻撃者は、Helix Syncの処理パイプラインに悪意のあるコマンドを注入し、システム上で任意のコードを実行できます。これにより、機密データ(ソースコード、認証情報など)の漏洩、システム設定の変更、さらにはシステム全体の制御奪取といった深刻な被害が発生する可能性があります。特に、Helix Syncを共有ホスティング環境で利用している場合、他のテナントへの影響も考慮する必要があります。
この脆弱性は、Bryan Riggins氏によって報告されました。現時点では、公開されているPoCは確認されていませんが、ローカルアクセス権限があれば悪用可能であるため、注意が必要です。CISA KEVリストへの登録状況は不明です。NVD公開日は2024年2月1日です。
Organizations using Helix Sync in environments where local access is not strictly controlled are at risk. This includes development environments, shared hosting setups, and systems with weak access controls. Users relying on Helix Sync for sensitive data storage or processing should prioritize patching.
disclosure
エクスプロイト状況
EPSS
0.11% (29% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、Helix Syncをバージョン2024.1以上にアップデートすることを推奨します。アップデートが困難な場合は、Helix Syncの実行環境における権限を最小限に制限し、不要なコマンド実行を防止するアクセス制御を実装してください。また、WAFやIPSなどのセキュリティ対策を導入し、不審なコマンド実行を検知・遮断することも有効です。アップデート後、システムログを確認し、異常なコマンド実行がないか確認してください。
Helix Syncを2024.1以降のバージョンにアップデートしてください。アップデートによりコマンドインジェクションの脆弱性が修正され、システムが保護されます。詳細なアップデート手順については、Perforceのドキュメントを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-0325は、Helix Syncのバージョン0.0.0から2024.1までのバージョンに存在するローカルコマンドインジェクションの脆弱性です。攻撃者はこの脆弱性を悪用して、システム上で任意のコマンドを実行できます。
Helix Syncのバージョンが0.0.0から2024.1までの場合は、この脆弱性の影響を受けます。速やかにバージョン2024.1以上にアップデートしてください。
Helix Syncをバージョン2024.1以上にアップデートすることで、この脆弱性を修正できます。アップデートが困難な場合は、アクセス制御やWAFなどの対策を講じてください。
現時点では、公開されているPoCは確認されていませんが、ローカルアクセス権限があれば悪用可能であるため、注意が必要です。
Helix Syncの公式アドバイザリは、Helix Syncのウェブサイトまたは関連するセキュリティ情報サイトで確認できます。