Boaウェブサーバー - CWE-22: 制限されたディレクトリへのパス名の不適切な制限 ('Path Traversal')

このパス・トラバーサル脆弱性は、攻撃者がウェブサーバーのファイルシステム内の任意のファイルにアクセスすることを可能にします。これにより、設定ファイル、ソースコード、ログファイルなど、機密情報が漏洩するリスクがあります。さらに、攻撃者はこの脆弱性を悪用して、ウェブサーバー上で任意のコードを実行したり、他のシステムへの攻撃の足がかりにしたりする可能性があります。特に、ウェブサーバーが機密情報を保存している場合や、他のシステムと連携している場合は、影響が甚大になる可能性があります。

Organizations still utilizing the Boa web server, particularly those running it on legacy systems or embedded devices, are at significant risk. Shared hosting environments where Boa is used are also vulnerable, as a compromise of one user's instance could potentially expose the entire server.

1. 2024-11-14Disclosure

   disclosure

1. 予約済み2024-10-06
2. 公開日2024-11-14
3. EPSS 更新日2026-04-02

Boaウェブサーバーはサポート終了（EOL）となっているため、公式な修正プログラムは提供されません。この脆弱性への対応としては、Boaウェブサーバーの使用を直ちに停止し、代替のウェブサーバーに移行することが推奨されます。移行が困難な場合は、ウェブサーバーのアクセス制御を強化し、ファイルシステムのアクセス権を適切に設定することで、リスクを軽減できます。また、WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃を検知・防御することも有効です。