SHIRASAGI v1.19.1より前のバージョンでは、HTTPリクエスト内のURLを不適切に処理するため、パス・トラバーサル脆弱性が発生します。この脆弱性が悪用されると、サーバー上の任意のファイルが取得される可能性があります。

このパス・トラバーサル脆弱性は、攻撃者がSHIRASAGIが処理するHTTPリクエストを細工することで、本来アクセスできないはずのサーバー上のファイルにアクセスすることを可能にします。攻撃者は、機密情報を含む設定ファイル、ログファイル、ソースコードなどを盗み出す可能性があります。さらに、ファイルの内容を改ざんしたり、悪意のあるコードを挿入したりすることも考えられます。この脆弱性の影響範囲は、SHIRASAGIが公開されている環境や、認証されていないアクセスが可能な場合に特に大きくなります。

Organizations deploying SHIRASAGI, particularly those with publicly accessible instances, are at risk. Systems with older, unpatched versions of SHIRASAGI are especially vulnerable. Shared hosting environments where multiple users share the same server instance could also be affected, as a compromise of one user's SHIRASAGI instance could potentially lead to access for other users.

1. 2024-10-15Disclosure

   disclosure

1. 予約済み2024-10-04
2. 公開日2024-10-15
3. 更新日2024-10-23
4. EPSS 更新日2026-04-02

この脆弱性への最も効果的な対策は、SHIRASAGIをバージョン1.19.1にアップデートすることです。アップデートがすぐに適用できない場合は、HTTPリクエストの入力を厳密に検証し、パス・トラバーサル攻撃を防ぐためのフィルタリングを実装することを検討してください。WAF（Web Application Firewall）を使用している場合は、SHIRASAGIの脆弱性をターゲットとしたルールを追加することも有効です。また、ファイルアクセス権限を適切に設定し、不要なファイルの公開を避けることも重要です。アップデート後、ファイルアクセス権限が正しく設定されていることを確認してください。