HIGHCVE-2024-43395CVSS 8.2

CraftOS-PC 2の不適切なパスのサニタイズによりファイルシステムエスケープが発生する (Windows)

Q: CVE-2024-43395 — ディレクトリトラバーサルはCraftOS-PCで何ですか？

CVE-2024-43395は、CraftOS-PC 2のバージョン2.8.2以前において、`..`を隠蔽することで、ユーザーが許可なくファイルシステムへのアクセスを回避できるディレクトリトラバーサル脆弱性です。

Q: CVE-2024-43395はCraftOS-PCで影響を受けますか？

CraftOS-PC 2のバージョン2.8.2以前を使用している場合は、この脆弱性によって影響を受ける可能性があります。

Q: CVE-2024-43395はCraftOS-PCでどうやって修正しますか？

CraftOS-PC 2をバージョン2.8.3にアップデートすることで、この脆弱性を修正できます。

Q: CVE-2024-43395は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、注意が必要です。

Q: CVE-2024-43395のCraftOS-PC公式アドバイザリはどこで入手できますか？

CraftOS-PCの公式ウェブサイトまたは関連するセキュリティコミュニティでアドバイザリを確認してください。

プラットフォーム

windows

コンポーネント

craftos2

修正版

2.8.4

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-43395は、CraftOS-PC 2において、ディレクトリトラバーサル脆弱性が存在します。この脆弱性は、攻撃者が..を隠蔽することで、本来アクセスできないファイルシステム上のファイルにアクセスすることを可能にします。影響を受けるバージョンは2.8.2以前であり、バージョン2.8.3でこの問題が修正されました。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はCraftOS-PC 2を実行しているWindowsシステム上の機密情報に不正にアクセスする可能性があります。例えば、ユーザーの個人情報、パスワード、またはシステム設定ファイルなどが盗まれるリスクがあります。攻撃者は、この脆弱性を利用して、システム上で任意のコードを実行したり、他のシステムへの攻撃の足がかりにしたりする可能性も否定できません。この脆弱性は、ファイルシステムへのアクセス制御をバイパスするため、影響範囲は広範囲に及ぶ可能性があります。

悪用の状況

この脆弱性は、2024年8月16日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、ディレクトリトラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Users of CraftOS-PC 2 on Windows systems are at risk, particularly those who have not yet upgraded to version 2.8.3. Shared hosting environments where CraftOS-PC 2 is deployed could be particularly vulnerable, as a compromise of one instance could potentially lead to the compromise of others.

検出手順翻訳中…

• windows / supply-chain:

Get-Process | Where-Object {$_.ProcessName -like '*CraftOS-PC*'} | Select-Object Path, CommandLine

• windows / supply-chain:

Get-ScheduledTask | Where-Object {$_.TaskName -like '*CraftOS-PC*'} | Select-Object Action

• windows / supply-chain: Check Autoruns for entries related to CraftOS-PC that might indicate malicious modifications.

攻撃タイムライン

2024-08-16Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

EPSS

0.03% (10% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントcraftos2

ベンダーMCJack123

影響範囲修正版

< 2.8.3 – < 2.8.32.8.4

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-08-12
公開日2024-08-16
更新日2024-08-19
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、CraftOS-PC 2をバージョン2.8.3にアップデートすることです。アップデートがすぐに利用できない場合は、CraftOS-PC 2の実行フォルダへのアクセスを制限するファイアウォールルールを実装することを検討してください。また、ファイルシステムへのアクセスを監視し、異常なアクセスパターンを検出するためのセキュリティ監視システムを導入することも有効です。アップデート後、ファイルシステムへのアクセス権限が適切に設定されていることを確認してください。

修正方法翻訳中…

Actualice CraftOS-PC a la versión 2.8.3 o superior. Esta versión contiene una corrección para la vulnerabilidad de escape del sistema de archivos. Descargue la última versión desde el sitio web oficial o desde el repositorio de GitHub.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-43395 — ディレクトリトラバーサルはCraftOS-PCで何ですか？

CVE-2024-43395は、CraftOS-PC 2のバージョン2.8.2以前において、..を隠蔽することで、ユーザーが許可なくファイルシステムへのアクセスを回避できるディレクトリトラバーサル脆弱性です。

CVE-2024-43395はCraftOS-PCで影響を受けますか？