CVE-2024-47051 (CVSS 9.1): Critical RCE and File Deletion Flaws Expose 200,000+ Organizations
2025/03/02 SecurityOnline — Mautic プロジェクトが公開した、脆弱性 CVE-2024-47051 (CVSS:9.1) は、バージョン 5.2.3 以下に存在する深刻な欠陥である。この脆弱性の悪用に成功した攻撃者は、リモート・コード実行 (RCE) と任意のファイル削除を可能にするという。マーケティングの自動化に Mautic を活用している企業にとって、この脆弱性は深刻なセキュリティ脅威をもたらす。
世界最大の OSS マーケティング自動化プラットフォーム Mautic は、200,000 を超える組織で使用されている。その一方で、最新のセキュリティ・アドバイザリが警告するのは、認証されたユーザーに悪用される可能性のある、以下の2つの深刻な欠陥である。
- Asset Upload を介したリモート・コード実行:Asset Upload 機能における、リモート・コード実行の脆弱性が確認されている。許可されるファイル拡張子に関する不十分な制限が原因となり、制限の回避を達成する攻撃者は、PHP スクリプトなどの実行可能なファイルをアップロードできる。この欠陥を悪用する攻撃者は、サーバ上で任意のコードを実行し、システムを完全に制御する可能性を手にする。
- パス・トラバーサルによるファイル削除:アップロード検証プロセスに、パス・トラバーサルの脆弱性が存在する。パス・コンポーネントの不適切な処理により、認証済のユーザーであれば、ファイル削除プロセスを操作することで、ホスト・システム上の任意のファイルを削除できる。この脆弱性の悪用に成功した攻撃者は、重要なシステム・ファイルを削除し、サービス中断やデータ損失を引き起こす機会を得る。
すでに Mautic チームは、バージョン 5.2.3 をリリースし、これらの問題に対処している。ユーザーと管理者に対して強く推奨されるのは、速やかにアップデートを適用し、潜在的な悪用から環境を保護することだ。
OSS マーケティング自動化プラットフォームである Mautic の脆弱性が FIX しました。ご利用のチームは、アップデートをご確認ください。Mautic が人気の理由のひとつは、無料で導入出来るという点だと思います。しかし、手軽に利用できる半面、セキュリティ・リスクも伴います。よろしければ、以下の関連記事も、カテゴリ _OpenSource と併せてご参照下さい。
2025/02/26:OpenSSF がベスト・プラクティス実装のガイダンス
2025/01/15:2025年のセキュリティ:OSS とサプライチェーン
2025/01/06:脅威リサーチを構成するプロプラと OSS
IoT OT Security News 
You must be logged in to post a comment.