CVE-2024-3584: Critical Path Traversal Flaw Exposes Qdrant Vector Database to Remote Takeover
2024/06/03 SecurityOnline — ニューラル・ネットワーク・ベースのマッチングや、セマンティック検索アプリケーションで広く使用されている、オープンソースのベンター類似検索エンジン Qdrant に、深刻な脆弱性 CVE-2024-3584 (CVSS:9.8) が発見された。
Qdrant は、大規模なニューラ・ルネットワークやセマンティック・ベースのマッチング・アプリケーションを扱うために設計された、汎用的なベクター類似検索エンジンおよびデータベースである。拡張フィルタリングやファセット検索などの幅広い機能をサポートしており、AI や機械学習アプリケーションを扱う開発たちにとって、貴重なツールとなっている。
CVE-2024-3584 はパス・トラバーサルの脆弱性に分類されており、Qdrant の “/collections/{name}/snapshots/upload” エンドポイントに存在する。不適切な入力検証に起因し、URL エンコーディングにより、”name” パラメータが操作される可能性が生じる。
この脆弱性の悪用に成功した攻撃者は、サーバのファイル・システム上の “/root/poc.txt” のような任意のロケーションに、ファイルのアップロードが許される。それにより、影響を受けたシステムの、完全な乗っ取りなどの深刻な被害が生じる恐れがある。
この脆弱性の発見者である、セキュリティ研究者 Ozelis から、PoC (proof-of-concept) が公開されている。この PoC が強調しているのは、攻撃者が “name” パラメータを操作し、不正なファイル・アップロードを実現し、サーバを制御する手順である。
この脆弱性の影響は広範囲に及び、攻撃者による任意のコード実行/機密データの流出に加えて、Qdrant のベクター検索やストレージに依存する、サービスの妨害にいたる可能性もある。
すでに Qdrant 開発チームは、この脆弱性に迅速に対処し、バージョン 1.9.0 で修正している。Qdrant のユーザーと管理者には、最新バージョンへと直ちにアップグレードすることが強く推奨される。
また、アップグレードに加えて、悪用の兆候をアクセス・ログで確認し、また、今後において同様の脆弱性に影響されないよう、厳格な入力検証対策を実施することも必要だ。
まずは、Qdrant とは? ・・・ということで、GitHub を調べてみたところ、”Vector Search Engine for the next generation of AI applications” というタイトルが見つかりました。詳細に関する部分は、この記事書かれている内容と、ほぼ同じでした。セキュリティ・メディアの人たちも、新たなプロダクトを追いかけるたびに、いろいろと調べているのだと思いました。みなさん、頑張っていらっしゃいます。
IoT OT Security News 
You must be logged in to post a comment.