https://jvn.jp/jp/JVN12583112/
サイボウズGaroonはグループウェア製品。この製品に脆弱性があることが分かった。この脆弱性はディレクトリトラバーサルと呼ばれる。
ディレクトリトラバーサルの説明は下記が詳しい。
https://wa3.i-3-i.info/word15913.html
ディレクトリトラバーサルは要求したファイルのパスに”../”を挿入することで本来はアクセスできないパスからファイルを取り出そうという攻撃である。
原因としては開発者がファイル名を受け取るプログラムを作成した際にフルパスを受け入れてしまう、適切なパスチェックをしていないなどがある。
対策としてはそもそもファイルパスを受け入れるプログラムを使わない。必要であればコモンライブラリとして用意しておく、適切な検査をする。
.
