HIGHCVE-2024-25123CVSS 7.3

ファイル mslib/index.py におけるパス操作 (Path Manipulation) in MSS

Q: CVE-2024-25123でMission Support Systemを使用しています。影響を受けますか？

MSSのバージョンが5.0.0から8.3.3未満の場合、この脆弱性の影響を受けます。バージョン8.3.3にアップデートしてください。

Q: CVE-2024-25123でMission Support Systemを修正するにはどうすればよいですか？

MSSをバージョン8.3.3にアップデートすることで、この脆弱性を修正できます。アップデートがすぐに適用できない場合は、ファイルパスの検証を強化するワークアラウンドを検討してください。

Q: CVE-2024-25123は積極的に悪用されていますか？

現時点では、この脆弱性に対する公開されているPoCは確認されていませんが、攻撃者による悪用が懸念されます。最新の情報を入手するために、NVDおよびCISAの情報を定期的に確認してください。

Q: CVE-2024-25123のMission Support Systemの公式アドバイザリはどこで入手できますか？

Mission Support Systemの公式アドバイザリは、プロジェクトのウェブサイトまたはGitHubリポジトリで確認できます。詳細は、関連するセキュリティアナウンスメントを参照してください。

プラットフォーム

python

コンポーネント

mss

修正版

5.0.1

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-25123は、Mission Support System (MSS)のindex.pyファイルにおけるパス操作の脆弱性です。この脆弱性を悪用されると、攻撃者はファイルパスを操作し、本来アクセスできない機密情報にアクセスする可能性があります。影響を受けるバージョンは5.0.0から8.3.3未満です。2024年2月15日に公開され、8.3.3へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、MSSのindex.pyファイルにおけるファイルパスの構築方法に起因します。filename変数に、../のようなパスタイプ値を含む文字列を注入することで、攻撃者はMSSが読み込むファイルを制御できます。これにより、機密情報を含むファイルへの不正アクセスが可能となり、システム設定、認証情報、研究データなどが漏洩するリスクがあります。攻撃者は、この脆弱性を利用して、MSSシステム内で横展開を行い、他のシステムやデータにアクセスする可能性も否定できません。類似の脆弱性は、ファイルアップロード機能やファイルアクセスAPIの実装不備で発生することがあります。

悪用の状況

CVE-2024-25123は、2024年2月15日に公開されました。現時点では、KEV（Known Exploited Vulnerabilities）には登録されていません。EPSS（Exploit Prediction Score System）のスコアは、公開情報が限られているため、評価が保留中です。現時点では、この脆弱性に対する公開されているPoC（Proof of Concept）は確認されていませんが、攻撃者による悪用が懸念されます。NVD（National Vulnerability Database）およびCISA（Cybersecurity and Infrastructure Security Agency）の情報を定期的に確認し、最新の情報を入手するようにしてください。

リスク対象者翻訳中…

Organizations and researchers utilizing the Mission Support System for atmospheric flight planning are at risk. Specifically, deployments using older versions (5.0.0 through 8.3.2) are vulnerable. Those running the MSS in environments with limited access controls or where sensitive data is stored in accessible locations are at higher risk.

検出手順翻訳中…

• python / application:

import os
import requests

url = 'http://target/index?file=../../../../etc/passwd' # Example path traversal attempt
response = requests.get(url)

if 'root:' in response.text:
    print('Potential vulnerability detected!')

• generic web:

curl 'http://target/index?file=../../../../etc/passwd' > output.txt && grep 'root:' output.txt

攻撃タイムライン

2024-02-15Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.22% (44% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmss

ベンダーOpen-MSS

影響範囲修正版

>= 5.0.0, < 8.3.3 – >= 5.0.0, < 8.3.35.0.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-02-05
公開日2024-02-15
更新日2024-08-28
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、MSSをバージョン8.3.3にアップデートすることです。アップデートがすぐに適用できない場合は、ファイルパスの検証を強化するワークアラウンドを検討してください。具体的には、filename変数に渡される値に対して、許可されたファイル名のリストとの照合や、パスの正規化などの処理を追加することで、不正なパスの注入を防ぐことができます。また、WAF（Web Application Firewall）を導入し、ファイルパス操作攻撃を検知・防御することも有効です。アップデート後、システムを再起動し、filenameパラメータに../を含むリクエストを送信することで、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

Actualice el paquete MSS a la versión 8.3.3 o superior. Esto corrige la vulnerabilidad de manipulación de ruta. Puede actualizar usando `pip install --upgrade mss`.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-25123 — パス操作の脆弱性は、Mission Support Systemで何ですか？

CVE-2024-25123は、Mission Support System (MSS)のindex.pyファイルにおけるパス操作の脆弱性です。攻撃者はファイルパスを操作し、機密情報を取得する可能性があります。

CVE-2024-25123でMission Support Systemを使用しています。影響を受けますか？