HIGHCVE-2024-8941CVSS 7.5

ScriptcaseにおけるPath Traversalの脆弱性

プラットフォーム

php

コンポーネント

scriptcase

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

CVE-2024-8941は、Scriptcaseのバージョン9.4.019において、パストラバーサル脆弱性が確認されています。この脆弱性を悪用されると、攻撃者は認証なしでファイルシステムを探索し、機密情報を窃取する可能性があります。影響を受けるバージョンは9.4.019です。ベンダーはアップデートをリリースしており、速やかに適用することを推奨します。

影響と攻撃シナリオ

この脆弱性は、攻撃者がScriptcaseアプリケーションのファイルシステムを自由に探索することを可能にします。具体的には、/scriptcase/devel/compat/nmeditphp_edit.phpファイルのsubpageパラメータを操作することで、Webアプリケーションのルートディレクトリ外にあるファイルやディレクトリへのアクセスを試みることができます。成功した場合、攻撃者は機密性の高い設定ファイル、ソースコード、データベース接続情報などを取得し、システムへのさらなる侵入やデータの漏洩に繋げる可能性があります。この脆弱性は、Log4Shellのような広範囲な影響を及ぼす可能性を秘めています。

悪用の状況

この脆弱性は、2024年9月24日に公開されました。現時点では、公的なPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は高いと考えられます。CISAのKEVリストへの登録状況は不明です。NVDデータベースも参照し、最新の情報を確認することをお勧めします。

リスク対象者翻訳中…

Organizations utilizing Scriptcase versions 9.4.019–9.4.019, particularly those with publicly accessible Scriptcase instances or those lacking robust input validation mechanisms, are at significant risk. Shared hosting environments where multiple users share the same Scriptcase installation are also particularly vulnerable.

検出手順翻訳中…

• php / web:

curl -I 'http://your-scriptcase-server/scriptcase/devel/compat/nm_edit_php_edit.php?subpage=../../../../etc/passwd' | grep 'HTTP/1.1'

• generic web:

 grep -r 'nm_edit_php_edit.php' /var/log/apache2/access.log

攻撃タイムライン

2024-09-24Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.09% (26% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントscriptcase

ベンダーScriptcase

影響範囲修正版

9.4.019 – 9.4.019—

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-09-17
公開日2024-09-24
EPSS 更新日2026-04-02

未パッチ — 公開から607日経過

緩和策と回避策

この脆弱性への対応として、Scriptcaseのバージョンを9.4.019よりも新しいバージョンにアップデートすることが最も効果的です。アップデートがすぐに利用できない場合は、Webアプリケーションファイアウォール（WAF）を使用して、/scriptcase/devel/compat/nmeditphp_edit.phpファイルに対する不正なリクエストをブロックすることを検討してください。また、ファイルシステムのアクセス権を適切に設定し、Webアプリケーションがアクセスする必要のないファイルやディレクトリへのアクセスを制限することも有効です。アクセスログを監視し、異常なアクセスパターンを検出することも重要です。アップデート後、ファイルシステムへのアクセス権が適切に設定されていることを確認してください。

修正方法翻訳中…

Actualice Scriptcase a una versión posterior a la 9.4.019 para corregir la vulnerabilidad de path traversal. Consulte el sitio web del proveedor para obtener la última versión y las instrucciones de actualización. Aplique las actualizaciones de seguridad tan pronto como estén disponibles.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-8941 — パストラバーサル Scriptcaseとは何ですか？

CVE-2024-8941は、Scriptcaseのバージョン9.4.019におけるパストラバーサル脆弱性です。攻撃者はこの脆弱性を利用して、ファイルシステムを探索し、機密情報を窃取する可能性があります。

CVE-2024-8941 Scriptcaseで影響を受けますか？

Scriptcaseのバージョン9.4.019を使用している場合、この脆弱性の影響を受けます。速やかにアップデートを適用するか、適切なセキュリティ対策を実施してください。

CVE-2024-8941 Scriptcaseを修正するにはどうすればよいですか？

Scriptcaseのバージョンを9.4.019よりも新しいバージョンにアップデートすることが最も効果的な修正方法です。アップデートが利用できない場合は、WAFなどのセキュリティ対策を講じることを検討してください。

CVE-2024-8941は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は高いと考えられます。常に最新の情報を確認し、セキュリティ対策を強化してください。

CVE-2024-8941 Scriptcaseの公式アドバイザリはどこで入手できますか？

Scriptcaseの公式アドバイザリは、Scriptcaseのウェブサイトで確認できます。詳細な情報やアップデートのダウンロードはこちらから：[Scriptcaseのウェブサイトへのリンクを挿入]