概要
PinchTab は ブックマーク 管理 ツール です。/download エンドポイント に サーバーサイド リクエストフォージェリ(SSRF)の 脆弱性 が 存在 します。
CWE-918(Server-Side Request Forgery)に 分類 される この 問題 に より、攻撃者 は /download エンドポイント を 介して サーバー から 任意 の 内部 URL に リクエスト を 送信 する こと が 可能 です。これ に より、内部 ネットワーク の サービス へ の 不正 アクセス や、クラウド メタデータ API から の 機密情報 取得 が 行われる 恐れ が あります。
PinchTab を デプロイ して いる 環境 で は、速やか に 修正 バージョン へ の アップデート が 推奨 されます。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.5 |
| 深刻度 | High |
| CWE | CWE-918 (サーバーサイドリクエストフォージェリ) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| PinchTab | PinchTab | 影響バージョンはアドバイザリを参照 |
修正バージョンと回避策
- 修正バージョン: PinchTab の 最新 バージョン へ アップデート
- 暫定回避策:
/downloadエンドポイント へ の アクセス を 制限 し、送信先 URL の ホワイトリスト を 設定 する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。