Allure Reportにおいて、添付処理におけるパス・トラバーサルにより任意のファイル読み出しの脆弱性 (Allure 1, Allure 2, およびXCTestリーダー)

この脆弱性を悪用されると、攻撃者はAllureレポート生成プロセスを操作し、ホストシステム上の任意のファイルにアクセスできる可能性があります。特に、機密情報を含むファイル（設定ファイル、APIキー、データベースのダンプなど）が危険にさらされる可能性があります。攻撃者は、これらのファイルをレポートに含め、内部ネットワークに持ち出すことが可能です。この脆弱性は、テスト結果ファイルを通じて攻撃が実行されるため、信頼されたテスト環境であっても注意が必要です。攻撃者は、テスト結果ファイルを改ざんし、Allureレポート生成時に脆弱性を突くことで、システムへの不正アクセスを試みる可能性があります。

Organizations using Allure report generator for test automation and continuous integration/continuous delivery (CI/CD) pipelines are at risk. This includes teams using Java-based testing frameworks and those who store test results in shared locations accessible to multiple users. Legacy systems or environments with outdated software management practices are particularly vulnerable.

• java / server:

find /path/to/allure/results -name '*.json' -mtime -7 -print0 | xargs -0 grep -i '..\..' # Check for path traversal attempts

• generic web: Inspect Allure report generation logs for unusual file access patterns or errors related to file resolution. • java / supply-chain: Review dependencies for vulnerable versions of allure-generator. Use dependency scanning tools to identify instances of Allure report generator versions <= 2.9.0.

1. 2026-03-18Disclosure

   disclosure

1. 予約済み2026-03-17
2. 公開日2026-03-18
3. 更新日2026-03-25
4. EPSS 更新日2026-03-28

この脆弱性への主な対策は、io.qameta.allure:allure-generatorをバージョン2.38.0以降にアップデートすることです。アップデートが困難な場合は、一時的な回避策として、テスト結果ファイルのアップロードを制限し、信頼できないソースからのファイルを処理しないように設定してください。また、Allureレポート生成プロセスを実行するユーザーアカウントの権限を最小限に抑え、機密ファイルへのアクセスを制限することも有効です。WAF（Web Application Firewall）を導入し、不正なファイルアクセスを検知・ブロックすることも検討してください。