概要
perfree go-fastdfs-web の バージョン 1.3.7 以前 に おいて、InstallController.java の doInstall インターフェース に 不適切 な 認可 の 脆弱性 が 存在 します。認可 チェック が 不十分 な ため、リモート から 不正 な 操作 が 可能 です。ベンダー に は 報告 済み です が、応答 は ありません。go-fastdfs-web は 分散 ファイル ストレージ システム go-fastdfs の Web 管理 インターフェース で あり、ファイル の アップロード、ダウンロード、管理 を 行う ため の ツール です。Java ベース の Web アプリケーション と して 実装 されて います。
影響 の 範囲
インストール 用 エンドポイント の 認可 が 不適切 で ある ため、攻撃者 は リモート から システム の 再 インストール や 設定 の 上書き を 実行 できる 可能性 が あります。これ に より、データベース 接続 情報 の 書き換え、管理者 アカウント の リセット、既存 データ の 破壊 など の 被害 が 発生 する 恐れ が あります。ファイル ストレージ システム の 管理 画面 で ある ため、保存 されて いる 全て の ファイル へ の アクセス 権 が 奪われる リスク も あります。ベンダー から の 応答 が ない ため、利用者 は 独自 に エンドポイント へ の アクセス 制限 を 実装 する 必要 が あります。リバース プロキシ や ファイアウォール で の アクセス 制御 が 有効 な 対策 です。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.3(High) |
| 攻撃 元区分 | ネットワーク |
| 攻撃 条件 の 複雑さ | 低 |
| 必要 な 特権 | 低 |
| ユーザー 関与 | 不要 |
| CWE | CWE-266 / CWE-285(不適切 な 認可) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| go-fastdfs-web | perfree | 1.3.7 以前 |
修正 バージョン と 回避策
- 修正: 修正 バージョン は 確認 されて いません
- 回避策: doInstall エンドポイント へ の アクセス を 制限 する
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。