HIGHCVE-2024-9710CVSS 7.1

PostHog database_schema サーバーサイドリクエストフォージェリによる情報漏洩の脆弱性

プラットフォーム

python

コンポーネント

posthog

修正版

8817.0.1

AI Confidence: highNVDEPSS 0.8%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-9710は、PostHogにおける情報漏洩の脆弱性です。この脆弱性は、認証された攻撃者がPostHogのインストール環境から機密情報を開示することを可能にします。影響を受けるバージョンはb8817c14065c23159dcf52849f0bdcd12516c43e–b8817c14065c23159dcf52849f0bdcd12516c43eです。現時点では、公式な修正バージョンは提供されていませんが、設定の見直しとアクセス制限によって軽減が可能です。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はPostHogデータベース内の機密情報にアクセスする可能性があります。これには、ユーザーデータ、セッション情報、アプリケーション設定などが含まれる可能性があります。攻撃者は、この情報を利用して不正アクセスを試みたり、さらなる攻撃を仕掛けたりする可能性があります。特に、PostHogを外部からのアクセスが可能な環境で運用している場合、攻撃のリスクが高まります。この脆弱性は、ZDI-CAN-25351として報告されており、類似のServer-Side Request Forgery (SSRF) 脆弱性を利用した情報漏洩のパターンが見られます。

悪用の状況

CVE-2024-9710は、2024年11月22日に公開されました。現時点では、KEV（CISA Known Exploited Vulnerabilities）に登録されていません。公的なPoC（Proof of Concept）は確認されていませんが、SSRF脆弱性を利用した情報漏洩のパターンから、攻撃者による悪用が懸念されます。NVD（National Vulnerability Database）の情報も参照し、最新の状況を把握することが重要です。

リスク対象者翻訳中…

Organizations utilizing PostHog for product analytics, particularly those with sensitive data stored within their PostHog instance or connected to it, are at risk. Deployments with overly permissive network configurations or those lacking robust WAF protection are especially vulnerable. Shared hosting environments where multiple PostHog instances share resources could also amplify the impact of a successful exploitation.

検出手順翻訳中…

• linux / server:

journalctl -u posthog -g "database_schema"

• generic web:

curl -I https://<posthog_url>/api/v1/database_schema | grep -i 'Server:'

• generic web:

curl -I https://<posthog_url>/api/v1/database_schema | grep -i 'X-Powered-By:'

攻撃タイムライン

2024-11-22Disclosure
disclosure
2024-11-22Discovery
published

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.81% (74% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントposthog

ベンダーPostHog

影響範囲修正版

b8817c14065c23159dcf52849f0bdcd12516c43e – b8817c14065c23159dcf52849f0bdcd12516c43e8817.0.1

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2024-10-09
公開日2024-11-22
更新日2024-11-26
EPSS 更新日2026-04-02

未パッチ — 公開から548日経過

緩和策と回避策

公式な修正バージョンが提供されていないため、一時的な緩和策として、PostHogの設定を見直すことが重要です。具体的には、データベースへのアクセスを制限し、不要なポートを閉じ、ファイアウォールでアクセスを制御してください。また、PostHogのバージョンを最新の状態に保ち、セキュリティパッチを適用することで、他の脆弱性による攻撃のリスクを軽減できます。アクセス制御リスト（ACL）を適切に設定し、最小限の権限でユーザーがPostHogにアクセスできるようにすることも有効です。設定変更後、PostHogの動作を確認し、機密情報が適切に保護されていることを確認してください。

修正方法

PostHogを脆弱なバージョン以降にアップデートしてください。具体的なアップデート手順と軽減策については、リリースノートを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-9710 — 情報漏洩 in PostHogとは何ですか？

CVE-2024-9710は、PostHogにおける情報漏洩の脆弱性であり、認証された攻撃者が機密情報を開示できる可能性があります。

CVE-2024-9710 in PostHogに影響を受けますか？

PostHogのバージョンがb8817c14065c23159dcf52849f0bdcd12516c43e–b8817c14065c23159dcf52849f0bdcd12516c43eである場合、影響を受ける可能性があります。

CVE-2024-9710 in PostHogを修正するにはどうすればよいですか？

公式な修正バージョンは提供されていませんが、設定の見直しとアクセス制限を実施することで軽減が可能です。

CVE-2024-9710は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、SSRF脆弱性を利用した情報漏洩のパターンから、悪用が懸念されます。

CVE-2024-9710に関するPostHogの公式アドバイザリはどこで入手できますか？

PostHogの公式ウェブサイトまたはセキュリティブログで最新情報を確認してください。