概要
SFTPGo は Go 言語 で 実装 された フル機能 の SFTP サーバー で、S3 や Google Cloud Storage など の クラウド ストレージ バックエンド も サポート して います。バージョン 2.7.1 未満 に おいて、パス 正規化 の 不一致(CWE-22: パストラバーサル)に より フォルダ 権限 の バイパス が 可能 な 脆弱性 が 存在 します。
この 脆弱性 に より、認証 済み の ユーザー が 本来 アクセス 権限 の ない ディレクトリ に 対して パストラバーサル を 行い、ファイル の 読み取り や 書き込み が できる 可能性 が あります。SFTP サーバー は 組織 の ファイル 共有 基盤 として 利用 される ケース が 多い ため、機密 データ の 漏洩 や 改ざん に つながる リスク が あります。
SFTPGo を 運用 して いる 管理者 は、バージョン 2.7.1 以上 へ の アップデート を 速やか に 実施 して ください。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.1 |
| 深刻度 | High |
| CWE | CWE-22 (パストラバーサル) |
| 攻撃元 | ネットワーク |
| 認証 | 必要(低権限) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| SFTPGo | drakkan | 2.7.1 未満 |
修正バージョンと回避策
- 修正バージョン: SFTPGo 2.7.1 へ アップデート して ください
- 暫定回避策: フォルダ 権限 の 設定 を 最小 限 に 絞り、不要 な ユーザー アカウント を 無効化 する こと で リスク を 軽減 できます
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。