3.2. 解決した問題
MTR 1.2.6 では、次の問題が解決されています。
CVE-2024-1132: org.keycloak-keycloak-parent: Keycloak のリダイレクト検証におけるパストラバーサル
リダイレクトに含まれる URL が適切に検証されないという不具合が Keycloak で発見されました。この不具合により、攻撃者が悪意のあるリクエストを作成して検証を回避したり、ドメイン内の他の URL や機密情報にアクセスしたり、さらなる攻撃を実行する可能性があります。この問題を解決する MTR 1.2.6 にアップグレードすることが推奨されます。
詳細は、(CVE-2024-1132) を参照してください。
CVE-2023-45857: Axios 1.5 により Cookie に保存された機密データが公開される
Axios 1.5.1 に不具合が発見されました。この不具合により、Cookie に保存されている機密情報の XSRF-TOKEN が、ホストに対するすべてのリクエストの HTTP ヘッダー X-XSRF-TOKEN に追加されて誤って公開されていました。結果として、攻撃者が機密情報を閲覧できる状態になっていました。この問題を解決する MTR 1.2.6 にアップグレードすることが推奨されます。
詳細は、(CVE-2023-45857) を参照してください。
CVE-2024-28849: follow-redirects パッケージが認証ヘッダーをクリアする
follow-redirects パッケージに不具合が見つかりました。このパッケージは認証ヘッダーをクリアしますが、proxy-authentication ヘッダーをクリアできません。この不具合により認証情報の漏洩が発生し、データの機密性に大きな影響を与える可能性があります。この問題を解決する MTR 1.2.6 にアップグレードすることが推奨されます。
詳細は、(CVE-2024-28849) を参照してください。
CVE-2024-29131: Apache Commons 設定における境界外書き込みの脆弱性
Apache Commons-Configuration2 に脆弱性が見つかりました。AbstractListDelimiterHandler.flattenIterator() メソッドにプロパティーを追加すると、スタックオーバーフローエラーが発生する可能性があります。この問題により、脆弱なメソッドによって処理されたときに境界外書き込みの問題を引き起こす悪意のあるプロパティーを攻撃者が作成し、メモリーを破壊したり、サービス拒否 (DoS) 攻撃を実行したりする可能性があります。この問題を解決する MTR 1.2.6 にアップグレードすることが推奨されます。
詳細は、(CVE-2024-29131) を参照してください。
CVE-2024-29133: Apache Commons 設定における境界外書き込みの脆弱性
Apache Commons-Configuration2 に脆弱性が見つかりました。循環オブジェクトツリーで ListDelimiterHandler.flatten(Object, int) メソッドを呼び出すと、スタックオーバーフローエラーが発生します。この問題により、攻撃者が境界外書き込みをトリガーして、メモリー破損を引き起こしたり、サービス拒否 (DoS) 攻撃を引き起こしたりする可能性があります。この問題を解決する MTR 1.2.6 にアップグレードすることが推奨されます。
詳細は、(CVE-2024-29133) を参照してください。
CVE-2024-29180: webpack-dev-middleware の URL 検証の欠如によりファイル漏洩が発生する可能性がある
webpack-dev-middleware パッケージに不具合が見つかりました。ローカルファイルを返す前に、提供された URL アドレスを十分に検証できませんでした。この不具合により、攻撃者が URL を作成し、開発者のマシンから任意のローカルファイルを返すことができます。ミドルウェアを呼び出す前に正規化が行われていなかったため、攻撃者はターゲット環境に対してパストラバーサル攻撃を実行することもできます。この問題を解決する MTR 1.2.6 にアップグレードすることが推奨されます。
詳細は、(CVE-2024-29180) を参照してください。
CVE-2023-4639: org.keycloak-keycloak-parent undertow Cookie のスマグリングとスプーフィング
Undertow に不具合が見つかりました。この不具合により、受信リクエスト内の特定の値区切り文字を含む Cookie が誤って解析されます。この脆弱性により、攻撃者が Cookie 値を作成して HttpOnly Cookie 値を傍受したり、任意の追加の Cookie 値を偽装したりして、不正なデータアクセスやデータ変更を行う可能性があります。この問題を解決する MTR 1.2.6 にアップグレードすることが推奨されます。
詳細は、(CVE-2023-4639) を参照してください。
CVE-2023-36479: com.google.guava-guava-parent が Jetty CGI サーブレットのユーザー入力に引用符を不適切に追加する
Jetty の org.eclipse.jetty.servlets.CGI サーブレットに不具合が見つかりました。この不具合により、要求されたファイル名に特定の文字が含まれているリクエストなど、特定の状況で誤ったコマンドの実行が許可されます。この問題により、攻撃者が、要求されたコマンドに加え、許可されたコマンドを実行する可能性があります。この問題を解決する MTR 1.2.6 にアップグレードすることが推奨されます。
詳細は、(CVE-2023-36479) を参照してください。
CVE-2023-26364: css-tools の不適切な入力検証によりサービス拒否が発生する
@adobe/css-tools に不具合が見つかりました。この不具合により、CSS を解析する際に軽度のサービス拒否 (DoS) が発生する可能性があります。ユーザーインタラクションや権限がなくても、環境を危険にさらすことができます。この問題を解決する MTR 1.2.6 にアップグレードすることが推奨されます。
詳細は、(CVE-2023-26364) を参照してください。
CVE-2023-48631: css-tools: 正規表現によるサービス拒否
@adobe/css-tools に不具合が見つかりました。この不具合により、CSS の解析を試行する際に正規表現によるサービス拒否 (ReDoS) が発生する可能性があります。この問題を解決する MTR 1.2.6 にアップグレードすることが推奨されます。
詳細は、(CVE-2023-48631) を参照してください。
このリリースで解決された問題の完全なリストは、Jira の MTR 1.2.6 の解決済み問題 を参照してください。
