CVE-2019-9082 の詳細
CVEの情報
説明:
ThinkPHP before 3.2.4, as used in Open Source BMS v1.1.1 and other products, allows Remote Command Execution via public//?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]= followed by the command.
CVE更新日: 2019-02-24 18:29:00.207000
CVSSバージョン: 3.1
CVSSスコア: 8.8
KEVの情報
KEV更新日: 2021-11-03
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.974190000
EPSS更新日: 2026-07-17 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE-2019-9082は、ThinkPHPフレームワークに存在するリモートコード実行(RCE)の脆弱性です。以下に詳細を解説します。
1. 脆弱性の概要
CVE-2019-9082は、ThinkPHPのバージョン3.2.4以前に存在するPHPインジェクションの脆弱性です。これは、特定の細工されたURLリクエストを介してリモートからのコマンド実行を可能にします。この脆弱性は、CWE-94「コードインジェクションの不適切な制御」に分類されます。
1.1 影響 この脆弱性が悪用されると、リモートの攻撃者が影響を受けるシステム上で任意のコードを実行できるようになります。これにより、機密性、完全性、可用性のすべてが完全に損なわれる可能性があります。この脆弱性は、実際に積極的に悪用されており、CISA(サイバーセキュリティ・インフラセキュリティ庁)の既知の悪用されている脆弱性カタログ(Known Exploited Vulnerabilities Catalog)に登録されています。
攻撃者はこの脆弱性を利用して、Miraiのようなボットネット、Lucifer、およびクリプトカレンシーマイナーなどのマルウェアをインストールしていることが確認されています。
1.2 深刻度 * CVSS v3.1 基本スコア: 8.8 (High) * 攻撃元区分 (AV): ネットワーク (Network) * 攻撃複雑度 (AC): 低 (Low) * 必要な特権 (PR): 不要 (None) * ユーザーインタラクション (UI): 必要 (Required) * スコープ (S): 変更なし (Unchanged) * 機密性への影響 (C): 高 (High) * 完全性への影響 (I): 高 (High) * 可用性への影響 (A): 高 (High) * CVSS v2.0 基本スコア: 9.3 (High) * CWE: CWE-94 (Improper Control of Generation of Code ('Code Injection')), CWE-306 (Missing Authentication for Critical Function)
2. 対象となる環境
2.1 影響を受けるOSバージョン 特定のOSバージョンに限定されず、ThinkPHPフレームワーク自体が影響を受けます。
2.2 影響を受ける設定 * ThinkPHPのバージョン: 3.2.4より前のバージョンが影響を受けます。 * 利用製品: Open Source BMS v1.1.1など、脆弱なThinkPHPバージョンを使用している製品が影響を受けます。
3. 影響を受けた時の兆候
public//?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=に続いてコマンドが指定されたURLが観測されます。4. 推奨対策
4.1 本対策 * ベンダーの指示に従ってアップデートを適用してください。 * ThinkPHPを脆弱性のないバージョン(ThinkPHP 3.2.4以降)にアップグレードしてください。 * ThinkPHP 5.x系を使用している場合は、関連するCVE-2018-20062の対策として、バージョン5.0.23 / 5.1.31以降へのアップグレードも推奨されます。
4.2 暫定回避策(緩和策) * FortiGuard Labsは、IPSシグネチャ(例:
ThinkPHP.Controller.Parameter.Remote.Code.Execution)を提供しており、悪用試行を検出およびブロックできます。 * FortiEDRなどのエンドポイントセキュリティ製品は、エクスプロイト後の保護を提供できます。 * セキュリティ意識向上トレーニングやインシデント対応計画の策定を通じて、組織全体のセキュリティ体制を強化してください。 * エンドポイントでの検出および対応(EDR)やエンドポイントフォレンジックを活用し、インシデントへの対応と復旧を図ることも有効です。他に解説すべき観点
参照したサイト