HIGHCVE-2024-21547CVSS 7.5

Spatie Browsershot ディレクトリトラバーサル脆弱性

Q: CVE-2024-21547 — ディレクトリトラバーサルはspatie/browsershotで何ですか？

CVE-2024-21547は、spatie/browsershotのバージョン5.0.1以前に存在するディレクトリトラバーサル脆弱性で、攻撃者がサーバー上の任意のファイルを読み取れる可能性があります。

Q: CVE-2024-21547はspatie/browsershotで影響を受けますか？

はい、spatie/browsershotのバージョン5.0.1以前を使用している場合は、この脆弱性に影響を受けます。

Q: CVE-2024-21547はspatie/browsershotでどのように修正しますか？

spatie/browsershotをバージョン5.0.2以上にアップデートすることで、この脆弱性を修正できます。

Q: CVE-2024-21547は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、悪用される可能性は否定できません。

Q: CVE-2024-21547のspatie/browsershotの公式アドバイザリはどこで入手できますか？

spatie/browsershotの公式アドバイザリは、GitHubリポジトリで確認できます: [https://github.com/spatie/browsershot/security/advisories/CVE-2024-21547](https://github.com/spatie/browsershot/security/advisories/CVE-2024-21547)

プラットフォーム

php

コンポーネント

spatie/browsershot

修正版

5.0.2

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-21547は、PHPパッケージspatie/browsershotのバージョン5.0.1以前に存在するディレクトリトラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はサーバー上の任意のファイルを読み取ることが可能となり、機密情報の漏洩につながる可能性があります。影響を受けるバージョンは5.0.1以前であり、バージョン5.0.2で修正されています。

影響と攻撃シナリオ

この脆弱性は、spatie/browsershotを使用しているアプリケーションにおいて、攻撃者がファイル://プロトコルチェックをバイパスし、サーバー上の任意のファイルにアクセスすることを可能にします。例えば、攻撃者は設定ファイル、ソースコード、または機密データを含むファイルを読み取る可能性があります。この脆弱性は、特にファイルアクセスを許可する設定でspatie/browsershotを使用している場合に深刻な影響を及ぼします。攻撃者は、この脆弱性を利用して、サーバーの機密情報を窃取し、さらなる攻撃の足がかりに利用する可能性があります。

悪用の状況

CVE-2024-21547は、2024年12月18日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISAのKEV（Known Exploited Vulnerabilities）カタログへの登録状況は不明です。

リスク対象者翻訳中…

Applications using the spatie/browsershot package in their PHP projects are at risk. This includes websites and web applications that rely on browsershot for generating screenshots or PDFs from web pages. Shared hosting environments where the spatie/browsershot package is installed globally are particularly vulnerable.

検出手順翻訳中…

• php / composer:

composer show spatie/browsershot

If the version is <=5.0.1, the system is vulnerable. • generic web:

curl -I 'http://your-website.com/browsershot?url=file:\\\/etc/passwd' # Check for 200 OK and file content in response

• generic web: Check access logs for requests containing file:\\\

攻撃タイムライン

2024-12-18Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.05% (16% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントspatie/browsershot

ベンダーosv

影響範囲修正版

0.0.0 – 5.0.15.0.2

—5.0.2

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2023-12-22
公開日2024-12-18
EPSS 更新日2026-04-02

公開後-4日でパッチ適用

緩和策と回避策

この脆弱性への対応策として、まずspatie/browsershotをバージョン5.0.2以上にアップデートすることを推奨します。アップデートが困難な場合は、ファイルアクセスを制限する設定変更や、WAF（Web Application Firewall）によるファイルアクセス制御などの緩和策を検討してください。また、ファイルパスの検証を強化し、不正なファイルアクセスを防止するためのカスタムコードを実装することも有効です。アップデート後、ファイルアクセスを試みることで、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

Actualice la biblioteca spatie/browsershot a la versión 5.0.2 o superior. Esto solucionará la vulnerabilidad de path traversal. Ejecute `composer update spatie/browsershot` para actualizar a la versión segura.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-21547 — ディレクトリトラバーサルはspatie/browsershotで何ですか？