HIGHCVE-2024-31457CVSS 7.7

gin-vue-admin バックグラウンド任意のコードカバレッジ脆弱性

プラットフォーム

vue

コンポーネント

gin-vue-admin

修正版

0.0.1

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-31457は、バックエンド管理システムであるgin-vue-adminにおけるコードインジェクション脆弱性です。この脆弱性は、Plugin System -> Plugin Template機能のplugNameパラメータの不適切な処理に起因します。攻撃者はディレクトリトラバーサル攻撃を実行し、任意のディレクトリにファイルを作成・実行することで、システムを侵害する可能性があります。影響を受けるバージョンは、0.0.0-20240409100909-b1b7427c6ea6以前です。最新バージョンへのアップデートで脆弱性が修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はplugNameパラメータを操作することで、任意のディレクトリへのディレクトリトラバーサル攻撃を実行できます。これにより、api, config, global, model, router, service, main.goといった名前のGoファイルを指定したディレクトリ内に作成することが可能になります。さらに、作成されたGoファイルは実行される可能性があり、攻撃者はシステム上で任意のコードを実行し、機密情報を窃取したり、システムを完全に制御したりする可能性があります。この脆弱性は、バックエンドシステム全体への影響を及ぼす可能性があり、データの改ざん、不正アクセス、サービス停止などの深刻な被害につながる可能性があります。

悪用の状況

この脆弱性は、2024年4月9日に公開されました。現時点では、公的なエクスプロイトコードは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISA KEVへの登録状況は不明です。攻撃者は、この脆弱性を利用して、バックエンドシステムに侵入し、機密情報を窃取したり、システムを制御したりする可能性があります。

リスク対象者翻訳中…

Organizations using gin-vue-admin for their backend management systems are at risk, particularly those running older, unpatched versions. Shared hosting environments where multiple users have access to the plugin management features are especially vulnerable, as a compromised plugin could affect the entire hosting instance. Any deployment relying on the default plugin template functionality without proper input validation is also at increased risk.

検出手順翻訳中…

• linux / server:

find /opt/gin-vue-admin/plugins/ -name '*api*.go' -o -name '*config*.go' -o -name '*global*.go' -o -name '*model*.go' -o -name '*router*.go' -o -name '*service*.go' -o -name '*main.go*' 2>/dev/null

• generic web:

curl -I 'http://your-gin-vue-admin-instance/plugins/api/some..directory.go' # Check for 403 or other error indicating traversal is blocked

攻撃タイムライン

2024-04-09Disclosure
disclosure
2024-04-09Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.33% (56% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントgin-vue-admin

ベンダーflipped-aurora

影響範囲修正版

< 0.0.0-20240409100909-b1b7427c6ea6 – < 0.0.0-20240409100909-b1b7427c6ea60.0.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-04-03
公開日2024-04-09
更新日2024-08-02
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、まずgin-vue-adminをバージョン0.0.0-20240409100909-b1b7427c6ea6以上にアップデートすることを推奨します。アップデートが困難な場合は、Plugin System -> Plugin Template機能の使用を一時的に停止するか、入力値の検証を厳格化することで、攻撃のリスクを軽減できます。また、Webアプリケーションファイアウォール（WAF）やリバースプロキシを設定し、ディレクトリトラバーサル攻撃を検知・防御することも有効です。アップデート後、システムに不正なファイルが存在しないか確認し、正常に動作していることを確認してください。

修正方法翻訳中…

Actualice gin-vue-admin a la versión 0.0.0-20240409100909-b1b7427c6ea6 o posterior. Como alternativa, implemente manualmente el método de filtrado disponible en el GitHub Security Advisory para corregir el problema de directory traversal. Esto evitará la inyección de código arbitrario a través del parámetro `plugName`.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-31457 — コードインジェクション in gin-vue-adminとは何ですか？

CVE-2024-31457は、gin-vue-adminのPlugin System -> Plugin Template機能におけるディレクトリトラバーサル脆弱性です。攻撃者はこの脆弱性を悪用して、任意のディレクトリにファイルを作成・実行できます。

CVE-2024-31457 in gin-vue-adminの影響はありますか？

はい、バージョン0.0.0-20240409100909-b1b7427c6ea6以前のgin-vue-adminを使用している場合、この脆弱性の影響を受けます。

CVE-2024-31457 in gin-vue-adminを修正するにはどうすればよいですか？

gin-vue-adminをバージョン0.0.0-20240409100909-b1b7427c6ea6以上にアップデートしてください。

CVE-2024-31457は積極的に悪用されていますか？

現時点では、公的なエクスプロイトコードは確認されていませんが、悪用される可能性は否定できません。

CVE-2024-31457に関するgin-vue-adminの公式アドバイザリはどこで入手できますか？

gin-vue-adminの公式アドバイザリは、プロジェクトのGitHubリポジトリで確認できます。