概要
registry-support は devfile レジストリ の サポート ライブラリ です。devfile の 展開(アーカイブ 解凍)処理 に おいて、パス トラバーサル(CWE-22)の 脆弱性 が 存在 します。悪意 の ある devfile アーカイブ に ディレクトリ トラバーサル シーケンス が 含まれて いる 場合、意図 しない パス に ファイル が 書き込まれる 可能性 が あります。
この 脆弱性 に より、サーバー 上 の 任意 の ファイル が 上書き され、コード 実行 や 設定 の 改ざん に つながる 恐れ が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 8.0 |
| 深刻度 | High |
| CWE | CWE-22 (パス トラバーサル) |
影響 を 受ける ソフトウェア
| 製品名 | ベンダー | 影響 バージョン |
|---|---|---|
| registry-support | devfile | 影響 バージョン は アドバイザリ を 参照 |
修正 バージョン と 回避策
- 修正バージョン: ベンダー の セキュリティ アドバイザリ を 確認
- 回避策: 信頼 できない devfile アーカイブ の 処理 を 制限 する
関連 リンク
データソース: NVD (NIST) AI解説 は Claude API に より 自動生成 されています。正確性 に ついては 原文 を ご確認 ください。