Wellchoose 管理システム - パス・トラバーサルによる任意のファイル読み出し

このパス・トラバーサル脆弱性は、攻撃者がAdministrative Management Systemのファイルシステムを探索し、機密情報を含むファイルを不正に取得する可能性があります。例えば、設定ファイル、データベースのバックアップ、ソースコードなどが盗まれるリスクがあります。攻撃者は、取得した情報をもとに、システムへのさらなる侵入を試みたり、機密情報を外部に漏洩させたりする可能性があります。この脆弱性の悪用は、システムの信頼性を大きく損なうだけでなく、法的責任を問われる可能性もあります。

Organizations utilizing the Wellchoose Administrative Management System in their environments, particularly those with publicly accessible instances or those lacking robust access controls, are at risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable.

1. 2024-10-21Disclosure

   disclosure

1. 予約済み2024-10-21
2. 公開日2024-10-21
3. EPSS 更新日2026-04-02

この脆弱性への対応として、まずAdministrative Management Systemをバージョン0.0.1にアップデートすることを推奨します。アップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）やリバースプロキシを設定し、不正なファイルアクセスをブロックするルールを実装してください。また、ファイルアクセス権限を厳格に制限し、不要なファイルへのアクセスを遮断することも有効です。アップデート後、システムにアクセスし、想定外のファイルがダウンロードできないことを確認してください。