30秒で判断
対応すべき人
- Crafter CMS Crafter Studio 3.0.1 以前を運用中のエンジニア
- Crafter CMS をインターネット公開しているサーバー管理者
対応不要な人
- Crafter CMS を使用していない
- 3.0.1より新しい修正済みバージョンを使用している
- インターネットから隔離された内部ネットワークのみで運用中(リスク軽減)
確認コマンド
# バージョン確認(Crafter CMSがインストールされている場合)
cat /opt/crafter/bin/version.txt 2>/dev/null || echo "Crafter CMS not found"
概要
CVE-2017-15681 は、Crafter CMS の Crafter Studio コンポーネントに存在するディレクトリトラバーサル(パストラバーサル)脆弱性です。
認証なしに特細工されたリクエストを送ることで、サーバーのオペレーティングシステム上の任意のファイルを上書きできます。この上書き操作を悪用することで、最終的にリモートコード実行(RCE)が可能となります。Exploit-DB にはこの脆弱性を悪用したエクスプロイトコードが公開されており(EDB-ID参照)、攻撃のハードルが低い状況です。
CVSSベクトル
| 項目 | 値 | 説明 |
|---|---|---|
| Attack Vector | Network | ネットワーク経由で攻撃可能 |
| Attack Complexity | Low | 特別な条件不要 |
| Privileges Required | None | 認証不要 |
| User Interaction | None | ユーザー操作不要 |
| Scope | Unchanged | - |
| Confidentiality | High | 機密性への影響: 高 |
| Integrity | High | 完全性への影響: 高 |
| Availability | High | 可用性への影響: 高 |
CVSS 3.x スコア: 9.8 (Critical)
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Crafter CMS Crafter Studio | Crafter Software | 3.0.1 以前 |
修正バージョンと回避策
推奨対応: 公式サイトから修正済みバージョンへアップデートしてください。
回避策(アップデートが困難な場合):
- Crafter Studio へのアクセスを信頼できるIPアドレスのみに制限する
- インターネットからの直接アクセスを遮断し、VPN経由のみにする
- WAF(Web Application Firewall)でディレクトリトラバーサルパターンをブロックする
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
