つみかさね

CVE-2017-15681

Critical(9.8)

Crafter CMSのディレクトリトラバーサル CVE-2017-15681:影響範囲と対応方法

公開日: 2026-07-06データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Crafter CMS Crafter StudioCrafter Software<= 3.0.1

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Crafter CMS のバージョンが 3.0.1 以前かどうか確認する
  2. 2公式サイトから修正済みバージョンをダウンロードし、アップデートを実施する
  3. 3アップデートが困難な場合は、Crafter Studio へのアクセスを信頼できるIPに制限する

影響対象

Crafter CMS Studio 3.0.1以前の利用者

補足

  • -Exploit-DB にエクスプロイトが公開されているため、修正を優先してください
  • -インターネット公開中のインスタンスは特に優先度が高いです
CVECrafter CMSディレクトリトラバーサルRCECMS

30秒で判断

対応すべき人

  • Crafter CMS Crafter Studio 3.0.1 以前を運用中のエンジニア
  • Crafter CMS をインターネット公開しているサーバー管理者

対応不要な人

  • Crafter CMS を使用していない
  • 3.0.1より新しい修正済みバージョンを使用している
  • インターネットから隔離された内部ネットワークのみで運用中(リスク軽減)

確認コマンド

# バージョン確認(Crafter CMSがインストールされている場合)
cat /opt/crafter/bin/version.txt 2>/dev/null || echo "Crafter CMS not found"

概要

CVE-2017-15681 は、Crafter CMS の Crafter Studio コンポーネントに存在するディレクトリトラバーサル(パストラバーサル)脆弱性です。

認証なしに特細工されたリクエストを送ることで、サーバーのオペレーティングシステム上の任意のファイルを上書きできます。この上書き操作を悪用することで、最終的にリモートコード実行(RCE)が可能となります。Exploit-DB にはこの脆弱性を悪用したエクスプロイトコードが公開されており(EDB-ID参照)、攻撃のハードルが低い状況です。


CVSSベクトル

項目説明
Attack VectorNetworkネットワーク経由で攻撃可能
Attack ComplexityLow特別な条件不要
Privileges RequiredNone認証不要
User InteractionNoneユーザー操作不要
ScopeUnchanged-
ConfidentialityHigh機密性への影響: 高
IntegrityHigh完全性への影響: 高
AvailabilityHigh可用性への影響: 高

CVSS 3.x スコア: 9.8 (Critical)


影響を受けるソフトウェア

製品ベンダー影響バージョン
Crafter CMS Crafter StudioCrafter Software3.0.1 以前

修正バージョンと回避策

推奨対応: 公式サイトから修正済みバージョンへアップデートしてください。

回避策(アップデートが困難な場合):

  • Crafter Studio へのアクセスを信頼できるIPアドレスのみに制限する
  • インターネットからの直接アクセスを遮断し、VPN経由のみにする
  • WAF(Web Application Firewall)でディレクトリトラバーサルパターンをブロックする

関連リンク


データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。