HIGHCVE-2024-47769CVSS 7.5

IDURAR にはパス・トラバーサル脆弱性があります (認証されていないユーザーが機密データを読み取れる)

Q: CVE-2024-47769 — Path Traversal in IDURAR ERP CRMとは何ですか？

CVE-2024-47769は、IDURAR ERP CRM 4.1.0以下のバージョンにおいて、認証されていない攻撃者がファイルパスをトラバースし、システムファイルを読み取れるPath Traversal脆弱性です。

Q: CVE-2024-47769 in IDURAR ERP CRMに影響を受けますか？

IDURAR ERP CRMのバージョンが4.1.0以下の場合、この脆弱性に影響を受ける可能性があります。バージョン4.1.1にアップデートすることで脆弱性を解消できます。

Q: CVE-2024-47769 in IDURAR ERP CRMを修正するにはどうすればよいですか？

IDURAR ERP CRMをバージョン4.1.1にアップデートしてください。アップデートが困難な場合は、WAFなどのセキュリティ対策を講じることを推奨します。

Q: CVE-2024-47769は積極的に悪用されていますか？

現時点では、CVE-2024-47769を悪用した具体的な攻撃事例は確認されていませんが、Path Traversal脆弱性は一般的に悪用が容易であるため、注意が必要です。

Q: CVE-2024-47769に関するIDURARの公式アドバイザリはどこで入手できますか？

IDURARの公式アドバイザリは、IDURARのウェブサイトまたはセキュリティ関連のニュースサイトで確認できます。

プラットフォーム

nodejs

コンポーネント

idurar-erp-crm

修正版

4.1.1

AI Confidence: highNVDEPSS 1.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-47769は、IDURAR ERP CRMにおけるPath Traversal脆弱性です。この脆弱性は、認証されていない攻撃者がシステムファイルを読み取れる可能性があり、機密情報の漏洩につながる可能性があります。影響を受けるバージョンは4.1.0以下です。4.1.1へのアップデートで脆弱性が修正されています。

影響と攻撃シナリオ

このPath Traversal脆弱性を悪用すると、攻撃者はURLエンコードされたペイロードを送信することで、IDURAR ERP CRMのファイルシステムにアクセスし、機密情報を盗み出す可能性があります。具体的には、設定ファイル、データベースのバックアップ、ソースコードなどが標的となる可能性があります。攻撃者は、この脆弱性を利用して、システム内の他のサービスへのアクセス権を取得し、横展開攻撃を行う可能性も考えられます。類似の脆弱性は、Webアプリケーションにおけるファイルアップロード機能やファイルアクセス機能で多く見られます。

悪用の状況

この脆弱性は、2024年10月4日に公開されました。現時点では、KEVリストには登録されていません。公開されているPoCは確認されていませんが、Path Traversal脆弱性は一般的に悪用が容易であるため、注意が必要です。NVDおよびCISAの情報を定期的に確認し、最新の情報を把握するようにしてください。

リスク対象者翻訳中…

Organizations utilizing IDURAR ERP CRM, particularly those running version 4.1.0 or earlier, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromise of one user's account could potentially lead to access to other users' data or the entire system.

検出手順翻訳中…

• nodejs / server:

grep -r 'corePublicRouter.js' /var/www/html/

• nodejs / server:

journalctl -u node -f | grep -i "path traversal"

• generic web: Inspect access logs for requests containing suspicious path traversal sequences like ../ or encoded equivalents (e.g., %2e%2e%2f). • generic web: Use curl to attempt path traversal: curl 'http://<target>/../../../../etc/passwd' (expect a 403 or similar error after mitigation).

攻撃タイムライン

2024-10-04Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

1.00% (77% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントidurar-erp-crm

ベンダーidurar

影響範囲修正版

<= 4.1.0 – <= 4.1.04.1.1

弱点分類 (CWE)

CWE-22 CWE-23

タイムライン

予約済み2024-09-30
公開日2024-10-04
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、まずIDURAR ERP CRMをバージョン4.1.1にアップデートすることを推奨します。アップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）やリバースプロキシを設定し、不正なファイルパスへのアクセスをブロックするルールを実装してください。また、入力値の検証を強化し、URLエンコードされた文字列を適切に処理することで、脆弱性の悪用を防止できます。アップデート後、システムログを確認し、不正なアクセスがないか監視してください。

修正方法翻訳中…

Actualice IDURAR ERP CRM a la versión que corrige la vulnerabilidad de path traversal. Consulte el anuncio de seguridad en GitHub para obtener más detalles sobre la versión corregida y las instrucciones de actualización. Como medida temporal, revise y valide las entradas de los usuarios en corePublicRouter.js para evitar la manipulación de rutas.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-47769 — Path Traversal in IDURAR ERP CRMとは何ですか？