HIGHCVE-2024-52292CVSS 7.7

Craft CMS 任意のシステムファイル読み込み

Q: CVE-2024-52292 — OSファイル読み出しCraft CMSとは何ですか？

CVE-2024-52292は、Craft CMSのメール通知テンプレートにおける脆弱性で、攻撃者がシステムファイルを不正に読み出す可能性があります。バージョン5.4.8以前が影響を受けます。

Q: CVE-2024-52292 — OSファイル読み出しCraft CMSの影響はありますか？

Craft CMSのバージョンが5.4.8以前の場合は、影響を受ける可能性があります。システムファイルが漏洩するリスクがあるため、早急な対応が必要です。

Q: CVE-2024-52292 — OSファイル読み出しCraft CMSを修正するにはどうすればよいですか？

Craft CMSをバージョン5.4.9以降にアップデートすることで修正できます。アップデートが困難な場合は、システム通知テンプレートへの書き込み権限を制限してください。

Q: CVE-2024-52292 — OSファイル読み出しCraft CMSの公式アドバイザリはどこで入手できますか？

Craft CMSの公式アドバイザリは、[https://craftcms.com/support/security/](https://craftcms.com/support/security/) で確認できます。

プラットフォーム

php

コンポーネント

craftcms/cms

修正版

5.0.1

3.5.14

5.4.9

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-52292は、Craft CMSのメール通知テンプレートにおける脆弱性です。この脆弱性を悪用すると、攻撃者はシステムファイルを不正に読み出すことが可能になります。影響を受けるバージョンはCraft CMS 5.4.8以前であり、5.4.9へのアップデートで修正されています。攻撃者は、テンプレートへの書き込み権限を利用して、この脆弱性を悪用できます。

影響と攻撃シナリオ

この脆弱性は、攻撃者がCraft CMSのサーバー上でシステムファイルを読み出すことを可能にします。攻撃者は、メール通知テンプレートに悪用されたdataUrl関数を埋め込むことで、ファイルの内容をBase64エンコードされた文字列としてメール通知経由で外部に送信できます。これにより、機密情報（設定ファイル、ソースコードなど）が漏洩する可能性があります。攻撃者は、この情報を利用して、さらなる攻撃を仕掛ける可能性があります。この脆弱性は、サーバー全体のセキュリティを脅かす重大なリスクとなります。

悪用の状況

CVE-2024-52292は、2024年11月13日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の内容から、攻撃者による悪用が懸念されます。CISA KEVへの登録状況は不明です。この脆弱性は、Craft CMSのシステム通知テンプレートへの書き込み権限を持つ攻撃者にとって、比較的容易に悪用できる可能性があります。

リスク対象者翻訳中…

Organizations using Craft CMS in environments where system notification templates are writable by untrusted users are at significant risk. This includes development environments, shared hosting environments, and deployments with overly permissive file permissions. Sites relying on Craft CMS for sensitive data processing or storage are particularly vulnerable.

検出手順翻訳中…

• php / server:

find /path/to/craft/templates -name '*notification.php*' -print0 | xargs -0 grep -i 'dataUrl\('

• php / server:

journalctl -u php-fpm -f | grep -i "dataUrl"

• generic web: Inspect system notification email content for Base64-encoded strings that might represent file contents.

攻撃タイムライン

2024-11-13Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.32% (55% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントcraftcms/cms

ベンダーosv

影響範囲修正版

>= 5.0.0-alpha.1, < 5.4.9 – >= 5.0.0-alpha.1, < 5.4.95.0.1

>= 3.5.13, < 4.12.8 – >= 3.5.13, < 4.12.83.5.14

5.0.0-alpha.15.4.9

弱点分類 (CWE)

CWE-552 CWE-22

タイムライン

予約済み2024-11-06
公開日2024-11-13
EPSS 更新日2026-04-02

公開後-21日でパッチ適用

緩和策と回避策

この脆弱性への対応策として、まずCraft CMSをバージョン5.4.9以降にアップデートすることを推奨します。アップデートが困難な場合は、システム通知テンプレートへの書き込み権限を制限することで、攻撃のリスクを軽減できます。また、WAF（Web Application Firewall）を導入し、dataUrl関数の不正な使用を検知・ブロックするルールを設定することも有効です。ログ監視を強化し、不審なメール通知の送信を検知することも重要です。アップデート後、システムが正常に動作していることを確認してください。

修正方法翻訳中…

Actualice Craft CMS a la versión 5.4.9 o superior, o a la versión 4.12.8 o superior. Esto corrige la vulnerabilidad que permite la lectura de archivos arbitrarios. La actualización se puede realizar a través del panel de control de Craft CMS o mediante Composer.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-52292 — OSファイル読み出しCraft CMSとは何ですか？