概要
Allure Report に おける パストラバーサル の 脆弱性 です。テスト 結果 ファイル の 処理 時 に パス の 検証 が 不十分 な ため、攻撃者 が 細工 した テスト 結果 を 入力 する こと で、サーバー 上 の 任意 の ファイル を 読み取る こと が できて しまう 問題 が 存在 します。
CWE-22(Improper Limitation of a Pathname to a Restricted Directory)に 分類 される この 問題 に より、CI/CD パイプライン 上 の 機密 ファイル(環境 変数、認証 情報、ソースコード 等)が 漏洩 する 可能性 が あります。特 に テスト 結果 を 外部 から 受け取る ような 構成 で は リスク が 高まります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.6 (High) |
| CWE | CWE-22(パストラバーサル) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 不要 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
- Allure Report(2.38.0 未満)
修正バージョンと回避策
- 修正バージョン: 2.38.0 以降 へ アップデート してください
- 暫定回避策: テスト 結果 ファイル の 入力元 を 信頼 できる ソース に 限定 し、ファイル パス に 不正 な 文字列(
../等)が 含まれて いない こと を 検証 する
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。