概要
Acrel Environmental Monitoring Cloud Platform バージョン 1.1.0 に おいて、ファイル アップロード 機能 に 制限なし ファイル アップロード の 脆弱性 (CWE-434) が 存在 します。攻撃者 は 本 脆弱性 を 悪用 し、任意 の ファイル タイプ を サーバー に アップロード する こと が 可能 です。これ に より、悪意 の ある スクリプト や 実行 ファイル が サーバー 上 に 配置 され、リモート コード 実行 や 情報 漏洩 など の 重大 な 被害 に つながる 可能性 が あります。
本 脆弱性 に ついて、発見者 から ベンダー (Acrel) へ の 連絡 が 行われ ましたが、応答 が なかった こと が 報告 されて います。修正 パッチ の 提供 状況 は 不明 です。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.3 (High) |
| 攻撃元 | ネットワーク |
| 攻撃条件 | 低 |
| 認証 | 低 権限 |
| 機密性 への 影響 | 高 |
| 完全性 への 影響 | 高 |
| 可用性 への 影響 | 低 |
| CWE | CWE-434 (制限 の ない ファイル アップロード) |
影響 を 受ける ソフトウェア
| 製品名 | ベンダー | 影響 バージョン |
|---|---|---|
| Environmental Monitoring Cloud Platform | Acrel | 1.1.0 |
修正 バージョン と 回避策
ベンダー から の 応答 が なく、修正 バージョン の 提供 状況 は 不明 です。
- 推奨 対応: ベンダー の 公式 チャネル で アップデート 情報 を 確認 する
- 暫定 回避策: ファイル アップロード エンドポイント へ の アクセス を WAF や ネットワーク レベル で 制限 する。アップロード 可能 な ファイル タイプ を サーバー 側 で ホワイトリスト 制御 する。本 プラットフォーム を 公開 ネットワーク から 隔離 する
関連 リンク
データソース: NVD (NIST) AI解説 は Claude API に より 自動生成 されています。正確性 に ついては 原文 を ご確認 ください。