CRITICALCVE-2024-11986CVSS 9.6

CrushFTPにおけるStored XSS

プラットフォーム

crushftp

コンポーネント

crushftp

修正版

10.8.2

11.2.1

AI Confidence: highNVDEPSS 0.8%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-11986は、CrushFTPの'ホストヘッダー'における不適切な入力処理に起因するクロスサイトスクリプティング（XSS）脆弱性です。この脆弱性を悪用されると、攻撃者はWebアプリケーションのログに悪意のあるペイロードを保存し、管理者がログを閲覧する際にそのペイロードが実行される可能性があります。影響を受けるバージョンはCrushFTP 10.0.0から11.2.1までです。CrushFTP 11.2.1以降で修正されています。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者が管理者のブラウザ上で任意のJavaScriptコードを実行することを可能にします。これにより、攻撃者はセッションCookieを盗み、管理者の権限を乗っ取ったり、Webサイトを改ざんしたり、ユーザーを悪意のあるサイトにリダイレクトしたりする可能性があります。特に、CrushFTPを重要なデータ転送やファイル共有に使用している環境では、機密情報の漏洩やシステム全体の制御喪失につながる重大なリスクとなります。この脆弱性は、類似のログインジェクション攻撃と同様の被害をもたらす可能性があります。

悪用の状況

CVE-2024-11986は、2024年12月13日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、XSS脆弱性であるため、早期に悪用コードが公開される可能性があります。CISAのKEVリストへの登録状況は不明です。NVDデータベースも参照し、最新の情報を確認してください。

リスク対象者翻訳中…

Organizations using CrushFTP Server for file transfer and management, particularly those with legacy configurations or shared hosting environments, are at risk. Administrators who routinely access and review CrushFTP server logs are especially vulnerable to exploitation.

検出手順翻訳中…

• crushftp: Examine CrushFTP server logs for unusual or unexpected JavaScript code.

grep -i 'alert\(' /path/to/crushftp/logs/server.log

• crushftp: Check the CrushFTP configuration for improperly sanitized host headers.

Get-ChildItem -Path "HKCU:\Software\CrushFTP\Server" -Recurse | Where-Object {$_.PSProperty -like "*HostHeader*"} | Format-List Name, Value

• generic web: Monitor access logs for requests containing suspicious JavaScript payloads in the Host header.

grep -i 'alert\(' /var/log/apache2/access.log

攻撃タイムライン

2024-12-13Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.78% (74% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントcrushftp

ベンダーCrushFTP, LLC

影響範囲修正版

10.0.0 – 10.8.210.8.2

11.0.0 – 11.2.111.2.1

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2024-11-29
公開日2024-12-13
EPSS 更新日2026-04-02

緩和策と回避策

CrushFTPのバージョンを11.2.1以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）を使用して、'ホストヘッダー'フィールドへの悪意のある入力の挿入を試みる攻撃をブロックすることを検討してください。また、ログの閲覧機能を一時的に無効化したり、ログの閲覧権限を厳格に制限したりすることも有効な緩和策となります。ログの監視を強化し、不審なJavaScriptコードの実行を検知するためのカスタムルールを実装することも重要です。

修正方法

CrushFTPをバージョン10.8.2以降、またはバージョン11.2.1以降にアップデートしてください。これにより、Hostヘッダーの入力をログに書き込む前に適切にサニタイズすることで、Stored XSSの脆弱性が修正されます。詳細なアップデート手順については、CrushFTPのウェブサイトを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-11986 — XSS in CrushFTP 10.0.0–11.2.1とは何ですか？

CVE-2024-11986は、CrushFTPの'ホストヘッダー'の不適切な入力処理により発生するクロスサイトスクリプティング（XSS）脆弱性です。攻撃者はログにペイロードを保存し、管理者がログを閲覧する際に実行可能になります。

CVE-2024-11986 in CrushFTP 10.0.0–11.2.1の影響を受けていますか？

CrushFTPのバージョンが10.0.0から11.2.1のいずれかである場合、この脆弱性の影響を受けます。

CVE-2024-11986 in CrushFTP 10.0.0–11.2.1を修正するにはどうすればよいですか？

CrushFTPのバージョンを11.2.1以降にアップデートしてください。

CVE-2024-11986は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、早期に悪用コードが公開される可能性があります。

CVE-2024-11986のCrushFTP公式アドバイザリはどこで入手できますか？

CrushFTPの公式ウェブサイトまたはセキュリティアドバイザリページで確認してください。