HIGHCVE-2024-34060CVSS 8.8

IRIS EVTX パイプラインにおける任意のファイル書き込み

Q: CVE-2024-34060 — 任意ファイルアクセス in IRIS EVTX Pipeline Moduleとは何ですか？

CVE-2024-34060は、IRIS EVTX Pipeline Moduleのバージョン1.0.0以前における、EVTXファイルのアップロード処理におけるファイル名検証の不備に起因する任意ファイルアクセス脆弱性です。

Q: CVE-2024-34060 in IRIS EVTX Pipeline Moduleの影響はありますか？

はい、バージョン1.0.0以前を使用している場合、攻撃者による任意のファイル書き込みやリモートコード実行のリスクがあります。

Q: CVE-2024-34060 in IRIS EVTX Pipeline Moduleを修正するにはどうすればよいですか？

IRIS EVTX Pipeline Moduleをバージョン1.0.0にアップデートしてください。

Q: CVE-2024-34060は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、悪用される可能性はあります。

Q: CVE-2024-34060に関するIRIS EVTX Pipeline Moduleの公式アドバイザリはどこで入手できますか？

IRIS EVTX Pipeline Moduleの公式アドバイザリは、IRISのセキュリティ情報ページで確認できます。

プラットフォーム

python

コンポーネント

iris-evtx-module

修正版

1.0.1

AI Confidence: highNVDEPSS 2.4%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-34060は、IRIS EVTX Pipeline Moduleにおいて発見された任意ファイルアクセス脆弱性です。この脆弱性は、EVTXファイルのアップロード処理におけるファイル名検証の不備に起因し、攻撃者によるリモートコード実行（RCE）のリスクを高めます。影響を受けるバージョンは1.0.0以前であり、バージョン1.0.0へのアップデートによって修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はIRIS EVTX Pipeline Moduleを通じて任意のファイルを書き込むことが可能になります。ファイル名検証の不備により、攻撃者は意図しない場所にファイルを書き込み、システムを改ざんしたり、悪意のあるコードを実行したりする可能性があります。さらに、この脆弱性はServer Side Template Injection (SSTI) と組み合わせることで、リモートコード実行（RCE）につながる重大なリスクをもたらします。攻撃者は、システム上で任意のコマンドを実行し、機密情報を窃取したり、システムを完全に制御したりする可能性があります。

悪用の状況

この脆弱性は、2024年5月23日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、任意ファイルアクセスとSSTIの組み合わせによるRCEの可能性から、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

Organizations utilizing the IRIS EVTX Pipeline Module for log ingestion, particularly those with internet-facing deployments or those using the module to process logs from untrusted sources, are at significant risk. Legacy configurations of IRIS web applications and environments where input validation is weak are especially vulnerable.

検出手順翻訳中…

• linux / server:

find /opt/iris/ -name "iris-evtx-module*" -mtime +7  # Check for older versions
journalctl -u iris-web -g "EVTX upload" | grep -i "error" # Look for upload errors

• generic web:

curl -I <IRIS_WEB_ENDPOINT>/evtx_upload.php | grep -i "server" # Check server header for potential information leakage

攻撃タイムライン

2024-05-23Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

2.44% (85% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントiris-evtx-module

ベンダーdfir-iris

影響範囲修正版

< 1.0.0 – < 1.0.01.0.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-04-30
公開日2024-05-23
更新日2024-08-02
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最善の対応は、IRIS EVTX Pipeline Moduleをバージョン1.0.0にアップデートすることです。アップデートが直ちに実行できない場合は、EVTXファイルのアップロードを一時的に停止するか、ファイル名に特殊文字が含まれていないか検証するなどの回避策を講じることを推奨します。また、WAF（Web Application Firewall）を導入し、悪意のあるファイル名パターンをブロックするルールを設定することも有効です。アップデート後、ファイルアップロード機能が正常に動作することを確認してください。

修正方法翻訳中…

Actualice el módulo iris-evtx-module a la versión 1.0.0 o superior. Esto corrige la vulnerabilidad de escritura arbitraria de archivos. Puede actualizar el módulo utilizando el gestor de paquetes de Python, pip, ejecutando el comando: `pip install --upgrade iris-evtx-module`.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-34060 — 任意ファイルアクセス in IRIS EVTX Pipeline Moduleとは何ですか？