プラットフォーム
python
コンポーネント
securedrop-client
修正版
0.14.2
SecureDrop Clientは、ジャーナリストが情報源と通信し、SecureDrop Workstation上で投稿を扱うためのデスクトップアプリケーションです。バージョン0.14.1以前では、パストラバーサル脆弱性が存在し、悪意のあるSecureDrop ServerがSecureDrop Client仮想マシン (sd-app) 上でコード実行を行う可能性があります。この脆弱性は、SecureDrop Workstationのセキュリティを脅かす重大なリスクとなります。バージョン0.14.1へのアップデートにより、この脆弱性は修正されています。
この脆弱性を悪用されると、攻撃者はSecureDrop Client仮想マシン上で任意のコードを実行できるようになります。これにより、機密情報(投稿された文書、通信記録など)が漏洩する可能性があります。さらに、攻撃者はWorkstationの他のコンポーネントへのアクセスを試み、システム全体の制御を奪うことも考えられます。SecureDropはジャーナリストの安全な情報収集を目的とするシステムであるため、この脆弱性の悪用は、情報源の保護を損ない、ジャーナリスト自身の安全を脅かす可能性があります。この攻撃パターンは、他のシステムにおける同様の脆弱性悪用と同様の潜在的な影響を及ぼします。
この脆弱性は、2025年2月13日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISA KEVリストへの登録状況は不明です。攻撃者による悪用が確認されるまでは、防御策を講じることが重要です。
News organizations and journalists who rely on SecureDrop for secure communication with sources are at significant risk. Specifically, those using older versions of the SecureDrop Client (≤ 0.14.1) and those with configurations where the SecureDrop Server is not adequately secured are particularly vulnerable.
• linux / server: Monitor SecureDrop Server logs for unusual file access attempts or connections to the SecureDrop Client. Use journalctl -f to monitor for suspicious activity.
journalctl -f | grep "sd-app" • python: Examine SecureDrop Client application logs for any errors related to file path manipulation or access. • generic web: If the SecureDrop Server exposes any web interfaces, check for unusual file requests or directory traversal attempts in access logs.
disclosure
エクスプロイト状況
EPSS
3.07% (87% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、SecureDrop Clientをバージョン0.14.1にアップデートすることです。アップデートが利用できない場合、SecureDrop Serverからの入力を厳密に検証し、不正なファイルパスが渡されないようにする必要があります。また、ネットワークセグメンテーションを強化し、SecureDrop ServerとClient間の通信を制限することも有効です。WAFやプロキシサーバーを導入し、悪意のあるリクエストをブロックすることも検討してください。アップデート後、SecureDrop Clientが正常に動作し、脆弱性が修正されていることを確認してください。
Actualice SecureDrop Client a la versión 0.14.1 o superior. Esta versión corrige la vulnerabilidad de path traversal. La actualización se puede realizar a través de los canales de distribución habituales de SecureDrop.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-24888は、SecureDrop Client (バージョン0.14.1以前)におけるパストラバーサル脆弱性です。悪意のあるSecureDrop Serverがコード実行を可能にする可能性があります。
はい、SecureDrop Clientのバージョンが0.14.1以前を使用している場合は、この脆弱性の影響を受けます。
SecureDrop Clientをバージョン0.14.1にアップデートすることで、この脆弱性を修正できます。
現時点では、公開されているPoCは確認されていませんが、悪用される可能性は否定できません。
SecureDropの公式アドバイザリは、SecureDropのウェブサイトで確認できます。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。