|
[English]
|
JVNDB-2023-000073
|
GBrowse におけるアップロードファイルの検証不備の脆弱性
|
|
Generic Model Organism Database Project が提供する GBrowse は、Web ベースのゲノムブラウザです。GBrowse では、ユーザが手元のデータをアップロードして処理させることができ、複数のファイル形式がサポートされています(「GBrowse User Uploads」参照)。
本脆弱性の影響を受けるバージョンの GBrowse では、任意のファイル形式のファイルをアップロードでき (CWE-434)、また、アップロードされたファイルは認証なしにアクセス可能です。
なお、報告者によると、本脆弱性を悪用した攻撃が既に確認されているとのことです。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社サイバーディフェンス研究所
|
|
|
CVSS v3 による深刻度
基本値: 5.3 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): 低
- 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 5.0 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
|
Generic Model Organism Database Project
|
報告者によると、バージョン 1.70 で本脆弱性を確認した、また、バージョン 2.56 では GFF 形式以外のファイルのアップロードが禁止されていることを確認した、とのことです。
このことから、アップロードファイルの検証処理が導入されたのはバージョン 2 系以降と推測されます。
|
|
当該製品を通じてファイルをアップロードする権限を持つユーザによって、サーバ上で任意のコードを実行される可能性があります。
|
|
[製品の使用を停止し、後継製品に移行する]
開発者によると GBrowse のサポートは既に終了しているため使用を停止し、後継製品 JBrowse 2 への移行を推奨するとのことです。
|
|
Generic Model Organism Database Project
- Generic Model Organism Database Project : GBrowse
- Generic Model Organism Database Project : JBrowse
|
|
- その他(CWE-Other) [IPA評価]
|
|
- CVE-2023-32637
|
|
- JVN : JVN#35897618
- National Vulnerability Database (NVD) : CVE-2023-32637
|
|
- [2023年07月21日]
掲載
- [2024年04月12日]
参考情報:National Vulnerability Database (NVD) (CVE-2023-32637) を追加
|
