概要
Stirling-PDF は PDF 操作 の ための オープンソース ツール です。ZIP ファイル の 展開 処理 に おいて、パス トラバーサル(CWE-22, CWE-23)の 脆弱性 が 存在 します。悪意 の ある ZIP ファイル 内 の エントリ 名 に ディレクトリ トラバーサル シーケンス(../)が 含まれて いる 場合、意図 しない ディレクトリ に ファイル が 書き込まれる 可能性 が あります。
この 脆弱性 に より、サーバー 上 の 任意 の パス に ファイル が 書き込まれ、設定 ファイル の 上書き や コード 実行 に つながる 恐れ が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 8.1 |
| 深刻度 | High |
| CWE | CWE-22, CWE-23 (パス トラバーサル) |
影響 を 受ける ソフトウェア
| 製品名 | ベンダー | 影響 バージョン |
|---|---|---|
| Stirling-PDF | Stirling-Tools | 2.5.2 未満 |
修正 バージョン と 回避策
- 修正バージョン: Stirling-PDF 2.5.2
- 回避策: 信頼 できない ZIP ファイル の アップロード を 制限 する
関連 リンク
データソース: NVD (NIST) AI解説 は Claude API に より 自動生成 されています。正確性 に ついては 原文 を ご確認 ください。