ApostropheCMSはオープンソースのコンテンツ管理フレームワークです。`@apostrophecms/import-export`のバージョン3.5.3より前には、`gzip.js`の`extract()`関数が、`fs.createWriteStream(path.join(exportPath, header.name))`を使用してファイル書き込みパスを構築します。`path.join()`は、`../`のようなトラバーサルセグメントを解決またはサニタイズしません。それらはそのまま連結されるため、`../../evil.js`という名前のtarエントリは、意図された抽出ディレクトリ外のパスに解決されます。書き込みストリームが開かれる前に、正規化パスチェックは実行されません。

この脆弱性は、攻撃者がApostropheCMSのサーバー上で任意のファイルを書き込むことを可能にします。これにより、機密情報の窃取、システムの改ざん、さらにはリモートコード実行につながる可能性があります。攻撃者は、tarアーカイブ内に悪意のあるファイル名（例：../../evil.js）を含むファイルを仕込み、抽出処理中に意図しない場所にファイルを書き込むことができます。この脆弱性は、Log4Shellのようなサプライチェーン攻撃のパターンと類似しており、広範囲な影響を及ぼす可能性があります。特に、CMSの管理者がアップロードしたアーカイブが信頼できない場合、攻撃のリスクが高まります。

ApostropheCMS installations using @apostrophecms/import-export versions prior to 3.5.3 are at risk. This includes developers and system administrators who manage ApostropheCMS deployments, particularly those who allow users to upload files via the import-export functionality. Shared hosting environments running ApostropheCMS are also at increased risk, as a compromised user account could potentially exploit this vulnerability to gain access to the entire server.

• nodejs / server:

find /path/to/node_modules/@apostrophecms/import-export/gzip.js -exec grep -i 'path.join(exportPath, header.name)' {}

• linux / server:

journalctl -f -u node | grep -i "extract()"

• generic web:

curl -I http://your-apostrophe-site.com/import-export/upload.php?file=../../evil.txt

1. 2026-03-18Disclosure

   disclosure

2. 2026-03-18Patch

   patch

1. 予約済み2026-03-13
2. 公開日2026-03-18
3. 更新日2026-03-24
4. EPSS 更新日2026-03-26

この脆弱性への対応策として、まずApostropheCMSの@apostrophecms/import-exportモジュールをバージョン3.5.3にアップグレードすることを推奨します。アップグレードがシステムに影響を与える場合は、一時的な回避策として、アップロードされるアーカイブのファイル名を厳密に検証し、../のような相対パスを含むファイル名を拒否するカスタムフィルタを実装することを検討してください。また、WAF（Web Application Firewall）を使用して、悪意のあるファイル名を含むアーカイブのアップロードをブロックすることも有効です。アップグレード後、ファイル抽出処理が正しく機能していることを確認し、意図しない場所にファイルが書き込まれていないことを検証してください。