プラットフォーム
python
コンポーネント
netease-youdao/qanything
CVE-2024-12866は、netease-youdao/qanything v2.0.0以前に存在するローカルファイルインクルージョン脆弱性です。この脆弱性を悪用されると、攻撃者はファイルシステム上の任意のファイルを読み取ることが可能となり、機密情報の漏洩やリモートコード実行のリスクがあります。影響を受けるバージョンはv2.0.0以前です。最新バージョンへのアップデートにより、この脆弱性は解消されます。
この脆弱性は、攻撃者がファイルシステム上の任意のファイルを読み取ることができるため、深刻な影響をもたらす可能性があります。具体的には、攻撃者はSSH秘密鍵、ソースコード、設定ファイルなどの機密情報を窃取し、システムへの不正アクセスや悪意のあるコードの実行に利用する可能性があります。攻撃者は、取得した情報をもとに、さらなる攻撃を仕掛け、システム全体への影響を拡大させることも考えられます。この脆弱性は、類似のファイルインクルージョン脆弱性と同様に、攻撃者にとって魅力的な標的となりえます。
CVE-2024-12866は、2025年3月20日に公開されました。現時点では、公的なPoCは確認されていませんが、ローカルファイルインクルージョンの脆弱性は一般的に悪用が容易であるため、注意が必要です。CISA KEVへの登録状況は不明です。攻撃者による悪用が確認された場合、迅速な対応が必要です。
Systems running qanything in production environments, particularly those with default configurations or inadequate access controls, are at significant risk. Development environments and testing servers also face exposure. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a compromise of one user's qanything instance could lead to the compromise of the entire server.
• python / server:
import os
import requests
url = 'http://your-qanything-server/qanything?file='
# Attempt to read a sensitive file (replace with a known path)
try:
response = requests.get(url + '/etc/passwd')
if response.status_code == 200:
print('Potential LFI detected: File content retrieved.')
else:
print('File access denied.')
except requests.exceptions.RequestException as e:
print(f'Error: {e}')• linux / server:
journalctl -u qanything -f | grep -i "file:"• generic web:
curl -I http://your-qanything-server/qanything?file=/etc/passwddisclosure
エクスプロイト状況
EPSS
0.25% (48% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずnetease-youdao/qanythingを最新バージョンにアップデートすることを強く推奨します。アップデートが困難な場合は、ファイルアクセス権限を適切に設定し、攻撃者がアクセスできないように制限してください。また、Webアプリケーションファイアウォール(WAF)やリバースプロキシを導入し、不正なファイルアクセスを検知・遮断することも有効です。さらに、アクセスログを監視し、不審なアクセスパターンを早期に発見することも重要です。アップデート後、ファイルアクセス権限が正しく設定されていることを確認してください。
Actualice qanything a una versión posterior a la 2.0.0 que corrija la vulnerabilidad de inclusión de archivos locales. Consulte las notas de la versión o el registro de cambios del proyecto para obtener más detalles sobre la corrección. Como medida temporal, restrinja el acceso a los archivos sensibles del sistema y valide las entradas de los usuarios para evitar la manipulación de rutas de archivos.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-12866は、netease-youdao/qanything v2.0.0以前に存在するローカルファイルインクルージョン脆弱性であり、攻撃者がファイルシステム上の任意のファイルを読み取ることが可能になります。
netease-youdao/qanythingのバージョンがv2.0.0以前の場合は、この脆弱性に影響を受けます。最新バージョンへのアップデートを推奨します。
netease-youdao/qanythingを最新バージョンにアップデートしてください。アップデートが困難な場合は、ファイルアクセス権限を適切に設定し、WAFなどの対策を講じてください。
現時点では、公的な悪用事例は確認されていませんが、ローカルファイルインクルージョンの脆弱性は悪用が容易であるため、注意が必要です。
netease-youdaoの公式アドバイザリは、今後の情報公開をお待ちください。関連情報を随時確認してください。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。