プラットフォーム
nodejs
コンポーネント
webcrack
修正版
2.14.1
2.14.1
CVE-2024-43373は、webcrackモジュールにおける任意ファイル書き込みの脆弱性です。この脆弱性は、Windowsシステム上で特定の悪意のあるコードを処理する際に、unpack bundles機能と保存機能を組み合わせて使用することでトリガーされます。影響を受けるバージョンは2.14.1以前です。最新バージョン2.14.1へのアップデートにより、この脆弱性は修正されています。
この脆弱性を悪用されると、攻撃者はwebcrackモジュールが実行されているWindowsシステム上の任意のファイルを上書きできます。これは、パストラバーサルシーケンス(例:../..)をモジュール名に含めることで実現可能です。攻撃者は、重要なシステムファイルや設定ファイルを改ざんし、システムの挙動を制御したり、機密情報を盗み出したりする可能性があります。この脆弱性は、特にwebcrackモジュールを組み込んだアプリケーションを使用している環境において、重大なセキュリティリスクをもたらします。類似の脆弱性は、ファイルアップロード機能の不備など、ファイルパスの検証が不十分な場合に発生することがあります。
CVE-2024-43373は、2024年8月14日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、公開されている脆弱性の詳細情報から、攻撃者は容易にこの脆弱性を悪用できる可能性があります。CISAのKEVリストへの登録状況は不明です。公開されているPoCは確認されていません。
Organizations and developers using the webcrack Node.js package in their applications, particularly those deploying on Windows systems, are at risk. This includes developers integrating webcrack into custom tools or applications, and those relying on webcrack within larger Node.js projects. Shared hosting environments where multiple users share the same server are also at increased risk if one user's application is compromised.
• nodejs / server:
find / -name "webcrack" -type d -print0 | xargs -0 ls -l• nodejs / server:
ps aux | grep webcrack• generic web:
Inspect web server access logs for requests containing suspicious file paths or path traversal sequences (e.g., ../).
• generic web:
Review web application code for any instances where user-supplied input is used to construct file paths without proper sanitization.
disclosure
エクスプロイト状況
EPSS
0.21% (43% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への主な対策は、webcrackモジュールをバージョン2.14.1以降にアップデートすることです。アップデートが利用できない場合は、一時的な回避策として、webcrackモジュールがアクセスできるファイルパスを制限するファイアウォールルールやプロキシ設定を導入することを検討してください。また、入力値の検証を強化し、パストラバーサル攻撃を防ぐためのセキュリティ対策を講じることが重要です。webcrackモジュールのログを監視し、異常なファイルアクセスを検知することも有効です。
Actualice la versión de webcrack a la versión 2.14.1 o superior. Esto corrige la vulnerabilidad de escritura arbitraria de archivos. Puede actualizar el paquete utilizando npm o yarn.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-43373は、webcrackモジュールにおける任意ファイル書き込みの脆弱性で、Windowsシステム上で悪意のあるコードを処理する際に発生します。攻撃者はパストラバーサルシーケンスを利用してホストファイルを上書きできます。
webcrackモジュールのバージョンが2.14.1以前を使用している場合、この脆弱性に影響を受ける可能性があります。最新バージョンへのアップデートを推奨します。
webcrackモジュールをバージョン2.14.1以降にアップデートしてください。アップデートが利用できない場合は、ファイルパスの制限などの回避策を検討してください。
現時点では、CVE-2024-43373を悪用した具体的な攻撃事例は報告されていませんが、攻撃者は容易にこの脆弱性を悪用できる可能性があります。
webcrackの公式アドバイザリは、GitHubリポジトリのissueトラッカーで確認できます。https://github.com/j4k0xb/webcrack/issues