CVE-2024-6781は、電子書籍管理ソフトウェアCalibreのバージョン7.14.0以前に存在する任意ファイルアクセス脆弱性です。この脆弱性を悪用されると、攻撃者は認証なしでシステム上の任意のファイルを読み取ることが可能となり、機密情報の漏洩につながる可能性があります。影響を受けるバージョンは7.14.0以前であり、7.14.1へのアップデートで修正されています。
この脆弱性は、認証されていない攻撃者がCalibreアプリケーションを通じてシステム上の任意のファイルを読み取ることができるという重大なリスクをもたらします。攻撃者は、電子書籍ファイルだけでなく、設定ファイル、データベースファイル、その他の機密情報を含むファイルを読み取る可能性があります。これにより、ユーザーの個人情報、著作権保護されたコンテンツ、またはシステム構成情報が漏洩する可能性があります。攻撃者は、この脆弱性を利用して、システムへのさらなる侵入を試みることも考えられます。
CVE-2024-6781は、2024年8月6日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、ファイルパスのトラバーサル脆弱性は一般的に悪用されやすい傾向にあります。CISAのKEVリストへの登録状況は不明です。NVDデータベースに詳細な情報が記載されています。
Users running Calibre version 7.14.0 are at immediate risk. This includes individuals using Calibre for personal e-book management and organizations deploying Calibre servers for library management. Shared hosting environments where Calibre is installed are particularly vulnerable, as multiple users may have access to the same instance.
• other / general: Monitor Calibre logs for unusual file access attempts. Look for requests targeting files outside of the expected Calibre data directories.
grep -i 'path traversal' /var/log/calibre/calibre.logdisclosure
エクスプロイト状況
EPSS
93.77% (100% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への主な対策は、Calibreをバージョン7.14.1以降にアップデートすることです。アップデートが利用できない場合、一時的な回避策として、Calibreがアクセスできるファイルパスを制限するファイアウォールルールを設定することを検討してください。また、Calibreのインストールディレクトリへのアクセスを厳格に制限し、不要なファイルへのアクセスを防止することも有効です。アップデート後、ファイルアクセス権限が適切に設定されていることを確認してください。
Actualice Calibre a una versión posterior a 7.14.0 para corregir la vulnerabilidad de path traversal. Esto evitará que atacantes no autenticados lean archivos arbitrarios en el sistema. Descargue la última versión desde el sitio web oficial de Calibre.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-6781は、Calibreのバージョン7.14.0以前に存在する、認証されていない攻撃者が任意のファイルを読み取ることができる脆弱性です。
Calibreのバージョン7.14.0以前を使用している場合は、影響を受けます。7.14.1以降にアップデートしてください。
Calibreをバージョン7.14.1以降にアップデートしてください。アップデートができない場合は、ファイアウォールルールでアクセスを制限してください。
現時点では、公開されているPoCは確認されていませんが、悪用される可能性はあります。
Calibreの公式ウェブサイトまたはNVDデータベースでアドバイザリをご確認ください。