HIGHCVE-2024-11944CVSS 7.5

iXsystems TrueNAS CORE tarfile.extractall ディレクトリトラバーサルによるリモートコード実行の脆弱性

プラットフォーム

freebsd

コンポーネント

truenas-core

修正版

13.3.1

AI Confidence: highNVDEPSS 2.4%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-11944は、TrueNAS COREのtarfile.extractallメソッドにおけるディレクトリトラバーサル脆弱性です。この脆弱性を悪用されると、認証なしでネットワークからの攻撃者がroot権限で任意のコードを実行できてしまいます。影響を受けるバージョンはTrueNAS CORE 13.3-RELEASEです。iXsystemsは最新バージョンへのアップデートを推奨しています。

影響と攻撃シナリオ

この脆弱性は、TrueNAS COREを搭載したデバイス上で、攻撃者が任意のコードを実行することを可能にします。攻撃者は、tarファイルを操作することで、システムファイルにアクセスしたり、マルウェアをインストールしたり、機密情報を盗み出したりする可能性があります。特に、TrueNASデバイスがインターネットに直接公開されている場合、攻撃のリスクは高まります。この脆弱性の悪用は、システム全体の停止やデータ損失につながる可能性があります。類似の脆弱性では、攻撃者がシステムを完全に制御し、他のネットワークリソースへの攻撃拠点として利用する事例も報告されています。

悪用の状況

この脆弱性は、2024年12月30日に公開されました。現時点では、公的なPoCは確認されていませんが、脆弱性の深刻度から、早期に悪用される可能性があります。CISAのKEVリストへの登録状況は不明です。NVDデータベースには詳細な情報が記載されています。

リスク対象者翻訳中…

Organizations heavily reliant on TrueNAS CORE for data storage and management are at significant risk. This includes small to medium-sized businesses (SMBs) and enterprises utilizing TrueNAS for file sharing, backups, and virtual machine hosting. Shared hosting environments using TrueNAS are particularly vulnerable due to the potential for cross-tenant exploitation.

検出手順翻訳中…

• freebsd / server:

journalctl -u zed -g 'tarfile.extractall'

• freebsd / server:

find /usr/local -type f -mtime -1 -print

• generic web:

curl -I http://<truenas_ip>/path/to/malicious/file.tar.gz

• generic web:

 grep -i 'tarfile.extractall' /var/log/nginx/access.log

攻撃タイムライン

2024-12-30Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出中

EPSS

2.41% (85% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントtruenas-core

ベンダーiXsystems

影響範囲修正版

13.3-RELEASE – 13.3-RELEASE13.3.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-11-27
公開日2024-12-30
EPSS 更新日2026-04-02

未パッチ — 公開から510日経過

緩和策と回避策

この脆弱性への対応として、TrueNAS COREを最新バージョンにアップデートすることが最も効果的です。アップデートが困難な場合は、ネットワークからのtarファイルのアップロードを制限するファイアウォールルールを実装することを検討してください。また、TrueNASデバイスのアクセス制御を強化し、不要なポートを閉じることで、攻撃対象領域を縮小できます。さらに、tarファイルの展開前に、ファイル名やパスを厳密に検証するカスタムスクリプトを導入することも有効です。

修正方法翻訳中…

Actualice TrueNAS CORE a una versión posterior a 13.3-RELEASE que contenga la corrección para esta vulnerabilidad. Consulte las notas de la versión de TrueNAS para obtener más detalles.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-11944 — RCE in TrueNAS CORE 13.3-RELEASEとは何ですか？

CVE-2024-11944は、TrueNAS CORE 13.3-RELEASEのtarfile.extractallメソッドにおけるディレクトリトラバーサル脆弱性です。攻撃者が認証なしで任意のコードを実行できる可能性があります。

CVE-2024-11944 in TrueNAS CORE 13.3-RELEASEに影響を受けますか？

TrueNAS CORE 13.3-RELEASEを使用している場合は、影響を受けます。最新バージョンへのアップデートが必要です。

CVE-2024-11944 in TrueNAS CORE 13.3-RELEASEを修正するにはどうすればよいですか？

TrueNAS COREを最新バージョンにアップデートしてください。アップデートが困難な場合は、ファイアウォールルールでtarファイルのアップロードを制限してください。

CVE-2024-11944は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、脆弱性の深刻度から、早期に悪用される可能性があります。

CVE-2024-11944に関するTrueNASの公式アドバイザリはどこで入手できますか？

iXsystemsのセキュリティアドバイザリページで確認できます。詳細は、NVDデータベースを参照してください。