ProjectSend における任意のファイルをアップロードされる脆弱性(Scan Tech Report) | ScanNetSecurity
2021.01.16(土)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 エクスプロイト 記事

ProjectSend における任意のファイルをアップロードされる脆弱性(Scan Tech Report)

オープンソースのファイル共有ソフト ProjectSend に、任意のファイルのアップロードと実行可能な脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
1.概要
オープンソースのファイル共有ソフト ProjectSend に、任意のファイルのアップロードと実行可能な脆弱性が報告されています。当該脆弱性を悪用されることで、遠隔の攻撃者によるシステムへの不正侵入を許してしまう可能性があります。


2.深刻度(CVSS)
7.5
https://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2014-9567&vector=%28AV:N/AC:L/Au:N/C:P/I:P/A:P%29


3.影響を受けるソフトウェア※1
ProjectSend r100 から r561 のバージョン


4.解説
ProjectSend はオープンソースのファイル共有ソフトです。ユーザ間での大型ファイルのやり取りや、アップロードしたファイルの公開設定をすることなどを可能とします。

当該脆弱性を含む ProjectSend では、process-upload.php に "name" パラメータを適切にエスケープ処理しないという問題があります。この問題を悪用することにより、攻撃者は遠隔から任意のファイルをアップロードし、実行させることが可能となります。


5.対策
執筆時点(2015 年 3 月 1 日)でまだ対策が明らかにされていません。IP アドレスの制限やクライアント証明書などの導入によりアクセス制御を行うことで、攻撃される可能性を減らすことができます。修正版のリリースについては、以下の公式サイトを確認してください。

http://www.projectsend.org/


6.ソースコード
(Web非公開)

(執筆:株式会社ラック サイバー・グリッド研究所

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
《株式会社ラック デジタルペンテストサービス部》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

マイクロソフトが1月のセキュリティ情報を公開、一部脆弱性については悪用の事実を確認済み 画像

マイクロソフトが1月のセキュリティ情報を公開、一部脆弱性については悪用の事実を確認済み
Sysinternals Suite PsExec において名前付きパイプのハイジャックによりSYSTEM 権限が奪取可能となる手法(Scan Tech Report) 画像

Sysinternals Suite PsExec において名前付きパイプのハイジャックによりSYSTEM 権限が奪取可能となる手法(Scan Tech Report)
SKYSEA Client View のインストーラに DLL 読み込みに関する脆弱性 画像

SKYSEA Client View のインストーラに DLL 読み込みに関する脆弱性
WordPress 用WooCommerceプラグインのNAB Transact エクステンションにおけるデータの整合性検証不備に関する脆弱性 画像

WordPress 用WooCommerceプラグインのNAB Transact エクステンションにおけるデータの整合性検証不備に関する脆弱性
トレンドマイクロ製InterScan Web Securityシリーズの管理画面用サービスに複数の脆弱性 画像

トレンドマイクロ製InterScan Web Securityシリーズの管理画面用サービスに複数の脆弱性
SolarWinds Orion APIに認証回避の脆弱性、アップデートを呼びかけ 画像

SolarWinds Orion APIに認証回避の脆弱性、アップデートを呼びかけ

インシデント・事故 記事一覧へ

kintoneに連携「kMailer」で不具合、送信ログとして別顧客の情報が流出 画像

kintoneに連携「kMailer」で不具合、送信ログとして別顧客の情報が流出
カプコンへのランサムウェア攻撃、新たに16,406人の情報流出を確認 画像

カプコンへのランサムウェア攻撃、新たに16,406人の情報流出を確認
ソフトバンク元社員 不正競争防止法違反容疑で逮捕、楽天モバイルに技術情報持ち出し疑い 画像

ソフトバンク元社員 不正競争防止法違反容疑で逮捕、楽天モバイルに技術情報持ち出し疑い
神奈川県と富士通リースがHDD盗難のクリスマス和解 ~ 賠償 4,097 万円 再発防止策差し引き和解金 2,369 万円で合意 画像

神奈川県と富士通リースがHDD盗難のクリスマス和解 ~ 賠償 4,097 万円 再発防止策差し引き和解金 2,369 万円で合意
横浜市交通局職員 懲戒処分、定期券販売機を不正利用し 個人情報検索 画像

横浜市交通局職員 懲戒処分、定期券販売機を不正利用し 個人情報検索
総務省サイバーセキュリティ統括官室 メーリングリスト誤設定 画像

総務省サイバーセキュリティ統括官室 メーリングリスト誤設定

調査・レポート・白書 記事一覧へ

IDC予測、2024年までのセキュリティ製品サービス市場規模 画像

IDC予測、2024年までのセキュリティ製品サービス市場規模
企業 IT予算 増加基調維持、コロナ対応による予算増など要因 画像

企業 IT予算 増加基調維持、コロナ対応による予算増など要因
2021年の十大セキュリティトレンド、情報セキュリティ監査人がチェックするポイントとは 画像

2021年の十大セキュリティトレンド、情報セキュリティ監査人がチェックするポイントとは
地方公共団体の特定個人情報の取扱い、おおむね必要な措置を実施済 画像

地方公共団体の特定個人情報の取扱い、おおむね必要な措置を実施済
利用者中心の行政サービス設計 12 箇条、首相官邸が明示 画像

利用者中心の行政サービス設計 12 箇条、首相官邸が明示
「地方公共団体における情報セキュリティポリシーに関するガイドライン」7 つの改定ポイント 画像

「地方公共団体における情報セキュリティポリシーに関するガイドライン」7 つの改定ポイント

研修・セミナー・カンファレンス 記事一覧へ

SPFにまだできること ~ オランダ徴税税関管理局が採用するフィッシングメール対策 画像

SPFにまだできること ~ オランダ徴税税関管理局が採用するフィッシングメール対策
CrowdStrike ハンティングチームリーダーが教える、ハンターに必要な資質 ~ 1月末迄オンライン配信 画像

CrowdStrike ハンティングチームリーダーが教える、ハンターに必要な資質 ~ 1月末迄オンライン配信
NRIセキュア創立20周年記念し100名無料招待、SANS謹製ハッキングトーナメント開催 画像

NRIセキュア創立20周年記念し100名無料招待、SANS謹製ハッキングトーナメント開催
セキュリティインシデントの当事者になったその後 画像

セキュリティインシデントの当事者になったその後
セキュリスト(SecuriST)認定脆弱性診断士のプレ開講、7名の受講者インタビュー公開 画像

セキュリスト(SecuriST)認定脆弱性診断士のプレ開講、7名の受講者インタビュー公開
過去の情報も危険にさらす量子コンピュータ、今から対策を~デジサートが指摘 画像

過去の情報も危険にさらす量子コンピュータ、今から対策を~デジサートが指摘

製品・サービス・業界動向 記事一覧へ

東京海上日動と連携、Microsoft Azureの障害やサイバー攻撃を補償 画像

東京海上日動と連携、Microsoft Azureの障害やサイバー攻撃を補償
世界ではじめて脆弱性診断士資格「セキュリスト(SecuriST)」を作った三人の男 画像

世界ではじめて脆弱性診断士資格「セキュリスト(SecuriST)」を作った三人の男
統合管理ソフト「AT-SESC」をバージョンアップ、接続端末の可視化と識別可能に 画像

統合管理ソフト「AT-SESC」をバージョンアップ、接続端末の可視化と識別可能に
「セコムプロフェッショナルサポート」が経産省策定「情報セキュリティサービス基準適合サービスリスト」に登録 画像

「セコムプロフェッショナルサポート」が経産省策定「情報セキュリティサービス基準適合サービスリスト」に登録
M1チップ搭載のMacBook Air等による確定申告、ICカードリーダライタ非対応の可能性 画像

M1チップ搭載のMacBook Air等による確定申告、ICカードリーダライタ非対応の可能性
イエラエの技術者がインシデント対応支援、30万円/日のチケット制 画像

イエラエの技術者がインシデント対応支援、30万円/日のチケット制

おしらせ 記事一覧へ

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
ScanNetSecurity 創刊22周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊22周年御礼の辞(上野宣)
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
上野宣から編集長就任10周年の御礼 画像

上野宣から編集長就任10周年の御礼
ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
Page Top
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×