oakにおけるパストラバーサルにより、提供されたルートディレクトリ内の隠しファイルが転送される

この脆弱性を悪用されると、攻撃者はURLエンコードされたパスを使用して、本来アクセスできないはずの隠しファイルやディレクトリにアクセスできるようになります。これにより、機密情報（設定ファイル、ソースコード、ログファイルなど）が漏洩する可能性があります。攻撃者は、この脆弱性を利用して、サーバーのファイルシステムを探索し、さらなる攻撃の足がかりを得ることも考えられます。特に、機密情報を含むファイルが隠しファイルとして保存されている場合、この脆弱性の影響は大きくなります。

Applications and services built using @oakserver/oak versions prior to 17.1.3 are at risk. This includes web applications, APIs, and other backend systems that rely on @oakserver/oak for routing and file handling. Shared hosting environments where multiple applications share the same server instance are particularly vulnerable, as a compromise of one application could potentially expose files from others.

• nodejs / server:

  npm list @oakserver/oak

• nodejs / server:

  find / -name "node_modules/@oakserver/oak/send.ts" -print

• nodejs / server:

  grep -r '%2F' /path/to/oak/project/

1. 2024-11-01Disclosure

   disclosure

1. 予約済み2024-10-18
2. 公開日2024-11-01
3. EPSS 更新日2026-04-02

この脆弱性への対応策として、まず@oakserver/oakをバージョン17.1.3以降にアップグレードすることを推奨します。アップグレードが困難な場合は、WAF（Web Application Firewall）を使用して、URLエンコードされたパストラバーザル攻撃を検出し、ブロックするルールを実装することを検討してください。また、アクセス制御を強化し、不要なファイルやディレクトリへのアクセスを制限することも有効です。隠しファイルへのアクセスを厳密に制限する設定も検討ください。