Plane Project Management Tool Patches Critical SSRF Flaw – CVE-2024-47830 (CVSS 9.3)
2024/10/13 SecurityOnline — 人気のオープンソース・プロジェクト管理ツールである Plane に発見された、深刻なセキュリティ脆弱性 CVE-2024-47830 (CVSS:9.3) が修正された。 この脆弱性の悪用に成功した攻撃者は、サーバサイドを悪用して意図されない場所にリクエストを送信することが可能となり、内部サービスへの不正アクセスや機密データの漏洩の可能性を得る。
セキュリティ研究者の Sim4n6 により発見された、この脆弱性は、Plane の画像処理コンフィグレーションに存在する。具体的に言うと、web/next.config.js ファイル内の remotePatterns 設定でワイルドカード・サポートが使用されると、以下のコード・スニペットで示されているように、画像を取得する際に任意のホスト名を使用できるようになる。
images: {
remotePatterns: [
{
protocol: "https",
hostname: "**",
},
],
この設計上の欠陥を悪用する攻撃者は、サーバを騙して任意の場所にリクエストを送信させる可能性を手にする。Sim4n6 が提供した PoC (proof-of-concept) が証明するのは、Plane の画像処理エンドポイントに送信されたペイロードが、悪意のホスト名への GET リクエストを、サーバに発行させる可能性である。たとえば、以下の URL には、この脆弱性をトリガーする可能性が含まれる。
https://plane.so/_next/image?url=https%3A%2F%2F3dj9lr9c.c5.rs%2F%3F%23_next%2Fstatic%2Fmedia%2Fplane-logo-with-text.31443952.png&w=384&q=75
それにより、サーバが意図しないリクエストを開始し、攻撃者と内部サービスのインタラクションが可能にある。
この脆弱性の影響は深刻であり、悪用に成功した攻撃者は、以下のアクションを実行する可能性を手にする。
- 不正アクセス:通常は保護され外部からアクセスできない内部サービスに対して、攻撃者がアクセスする可能性がある。
- 機密情報の漏えい:この脆弱性により、機密データや機密情報などの内部サービスが流出する可能性がある。
- システム操作:攻撃者が内部 API とやりとりし、データの改ざんやシステム操作を引き起こす可能性がある。
- ポートスキャン:攻撃者は、オープンポートをスキャンし、内部ネットワーク内の脆弱なサービスを発見する可能性を手にする。
脆弱性 CVE-2024-47830 は、Plane のバージョン v0.23 未満に影響を及ぼす。すでに開発チームは、この問題に Plane v0.23 で対処しており、ユーザーに強く推奨されるのは、迅速なアップデートとなる。
この記事の冒頭で、Plane は人気のオープンソース・プロジェクト管理ツールだと紹介されていますが、Web ページを眺めてみると、その雰囲気が伝わってきます。かなりのユーザー数を抱えているように思えるだけに、この脆弱性の影響が懸念されます。ご利用のチームは、ご注意ください。よろしければ、Plane サイトも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.