概要
Dapr(Distributed Application Runtime)の Service Invocation 機能において、パストラバーサルの脆弱性が発見されました。攻撃者はパストラバーサルを利用して、アクセス制御リスト(ACL)で制限されたサービスへのアクセスをバイパスできます。
この脆弱性により、本来アクセスが許可されていないサービスやエンドポイントに対して不正にリクエストを送信できる可能性があります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.1(High) |
| CWE | CWE-22(パストラバーサル) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 低 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| dapr | Dapr | 1.15.14 未満 |
| dapr | Dapr | 1.16.0 〜 1.16.14 未満 |
| dapr | Dapr | 1.17.0 〜 1.17.5 未満 |
修正バージョンと回避策
- 修正バージョン: 1.15.14、1.16.14、1.17.5 以降へアップデート
- 暫定回避策: Service Invocation のACL設定を見直し、不要なサービス公開を最小限にする。ネットワークレベルでのアクセス制限を強化する
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。