HIGHCVE-2024-36117CVSS 8.2

Reposilite は、javadoc 展開ファイルを提供中にパス・トラバーサル脆弱性があり、任意のファイル読み取りにつながる (`GHSL-2024-074`)

Q: CVE-2024-36117 — パス・トラバーサル脆弱性とは、reposilite-backendにおいてどのような問題を引き起こしますか？

CVE-2024-36117は、Javadocファイルの展開処理における脆弱性により、攻撃者がシステム上の任意のファイルにアクセスできる可能性があります。

Q: CVE-2024-36117 — reposilite-backendにおいて、自分が影響を受けているかどうかを確認するにはどうすればよいですか？

reposilite-backendのバージョンがv3.5.10である場合、影響を受けています。バージョンを確認するには、システム管理者に問い合わせるか、コンソールで確認してください。

Q: CVE-2024-36117 — reposilite-backendを修正するにはどうすればよいですか？

reposilite-backendをバージョン3.5.12にアップデートしてください。アップデート手順は、ベンダーのドキュメントを参照してください。

Q: CVE-2024-36117 — この脆弱性は現在、積極的に悪用されていますか？

現時点では、積極的に悪用されているという報告はありませんが、公開されているため、悪用される可能性はあります。

Q: CVE-2024-36117 — reposilite-backendの公式アドバイザリはどこで確認できますか？

reposiliteの公式ウェブサイトまたはGitHubリポジトリでアドバイザリを確認できます。

プラットフォーム

java

コンポーネント

com.reposilite:reposilite-backend

修正版

3.3.1

3.5.12

AI Confidence: highNVDEPSS 77.6%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-36117は、reposilite-backend v3.5.10に存在するパス・トラバーサル脆弱性です。攻撃者はJavadocファイルの展開処理の脆弱性を悪用し、システム上の任意のファイルを読み取ることが可能です。影響を受けるバージョンはv3.5.10です。ベンダーはv3.5.12で修正を提供しています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はJavadocファイルの展開処理を不正に操作し、システム上の任意のファイルにアクセスできる可能性があります。これにより、機密情報（ソースコード、設定ファイル、データベース情報など）が漏洩するリスクがあります。攻撃者は、この脆弱性を利用して、システム内の他のリソースへのアクセスを試み、さらなる攻撃を仕掛ける可能性があります。類似の脆弱性は、ファイルアクセス制御の不備から発生することがあります。

悪用の状況

この脆弱性は、公開されており、攻撃者による悪用が懸念されます。現時点では、KEVに登録されていません。公開されているPoCは確認されていませんが、脆弱性の性質上、比較的容易に悪用される可能性があります。2024年11月4日に公開されました。

リスク対象者翻訳中…

Organizations using Reposilite Backend for artifact repository management, particularly those with publicly accessible javadoc endpoints or those who have not implemented strict access controls, are at risk. Shared hosting environments where multiple users share the same Reposilite instance are also particularly vulnerable.

検出手順翻訳中…

• linux / server:

find /opt/reposilite/javadocUnpackPath -type f -name '*.*' -print0 | xargs -0 grep -i 'sensitive_data'

• generic web:

curl -I 'http://your-reposilite-instance/javadoc/your-repo/your-gav/raw/../../../../etc/passwd'

• java: Monitor Reposilite logs for unusual file access patterns or errors related to file reading from unexpected locations.

攻撃タイムライン

2024-11-04Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

77.57% (99% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントcom.reposilite:reposilite-backend

ベンダーosv

影響範囲修正版

>= 3.3.0, < 3.5.12 – >= 3.3.0, < 3.5.123.3.1

3.3.03.5.12

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-05-20
公開日2024-11-04
更新日2024-11-05
EPSS 更新日2026-04-02

緩和策と回避策

最も効果的な対策は、reposilite-backendをバージョン3.5.12にアップデートすることです。アップデートが困難な場合は、Javadocファイルの展開パスを制限する設定変更を検討してください。また、WAF（Web Application Firewall）を導入し、不正なファイルアクセス試行を検知・遮断することも有効です。ファイルアクセス制御の強化と、定期的な脆弱性スキャンを実施することで、リスクを軽減できます。アップデート後、ファイルアクセス制御が適切に機能していることを確認してください。

修正方法翻訳中…

Actualice Reposilite a la versión 3.5.12 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite la lectura arbitraria de archivos. La actualización se puede realizar descargando la nueva versión desde el sitio web oficial o utilizando el gestor de dependencias correspondiente.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-36117 — パス・トラバーサル脆弱性とは、reposilite-backendにおいてどのような問題を引き起こしますか？