Trusted DesignCVE-2020-28949 の詳細
CVEの情報
説明:
Archive_Tar through 1.4.10 has :// filename sanitization only to address phar attacks, and thus any other stream-wrapper attack (such as file:// to overwrite files) can still succeed.
CVE更新日: 2020-11-19 19:15:11.937000
CVSSバージョン: 3.1
CVSSスコア: 7.8
KEVの情報
KEV更新日: 2022-08-25
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.933640000
EPSS更新日: 2026-06-12 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE-2020-28949は、PEAR Archive_Tarライブラリにおけるファイル名のサニタイズ処理の不備に起因する脆弱性です。
1. 脆弱性の概要
PEAR Archive_Tarのバージョン1.4.10以前において、
://ファイル名のサニタイズがphar攻撃にのみ対応しており、file://などの他のストリームラッパー攻撃(ファイルの上書きなど)が成功する可能性がある脆弱性です。これは信頼できないデータのデシリアライゼーション(CWE-502)またはインジェクション(CWE-74)に分類されます。1.1 影響 攻撃者は、特別に細工された
.tar、.tar.gz、.bz2、または.tlzファイルをアップロードすることで、リモートから任意のPHPコードを実行できる可能性があります。これにより、情報の取得、情報の改ざん、およびサービス運用妨害 (DoS) 状態にされる可能性があります。この脆弱性は、CISAのKnown Exploited Vulnerabilitiesカタログにリストされており、積極的に悪用されていることが知られています。1.2 深刻度 * 高危 * CVSS v3.1 基本評価値: 9.8 (緊急) * 攻撃経路 (AV): ネットワーク (Network) * 攻撃の複雑さ (AC): 低 (Low) * 必要な特権レベル (PR): 不要 (None) * ユーザー関与 (UI): 要 (Required) * 機密性への影響 (C): 高 (High) * 完全性への影響 (I): 高 (High) * 可用性への影響 (A): 高 (High) * CVSS v2 基本評価値: 6.8 (警告) * 攻撃元区分 (AV): ネットワーク (Network) * 攻撃条件の複雑さ (AC): 中 (Medium) * 攻撃前の認証要否 (Au): 不要 (None) * 機密性への影響 (C): 部分的 (Partial) * 完全性への影響 (I): 部分的 (Partial) * 可用性への影響 (A): 部分的 (Partial)
2. 対象となる環境
2.1 影響を受けるOSバージョン * Debian GNU/Linux * Fedora * Alibaba Cloud Linux 2.1903 (php-pearパッケージを使用している場合) * PEAR Archive_Tarライブラリを使用している様々なアプリケーションやシステムが影響を受ける可能性があります。特に、Drupalは本脆弱性を持つPEAR Archive_Tarを依存ライブラリとして使用していました。 * Drupalの以下のバージョンが影響を受けます: * 7.x系: 7.0から7.75未満 * 8.x系: 8.0.0から8.9.10未満、および8.8.0から8.8.12未満 * 9.x系: 9.0.0から9.0.9未満
2.2 影響を受ける設定 * PEAR Archive_Tar 1.4.10 およびそれ以前のバージョンを使用しているシステム。 * 特にDrupalにおいて、ユーザーが
.tar、.tar.gz、.bz2、または.tlz形式の圧縮ファイルのアップロードを許可し、それらを処理するように設定されている場合。3. 影響を受けた時の兆候
この脆弱性が悪用された際の直接的な兆候については明確な情報がありません。しかし、リモートコード実行の脆弱性であるため、以下のような一般的な兆候が考えられます。 * ウェブサイトの改ざん * 予期しないファイルの作成、変更、または削除 * 異常なプロセスやネットワーク通信 * システムログにおける不審な活動 * 機密情報の漏洩
4. 推奨対策
4.1 本対策 * PEAR Archive_Tarのアップデート: ベンダーによって公開されている修正パッチを適用し、PEAR Archive_Tarライブラリを修正済みバージョンにアップグレードしてください。 * Drupalのアップデート: Drupalを使用している場合は、公式のセキュリティアドバイザリ (SA-CORE-2020-013) に従って、最新のセキュリティアップデートを適用してください。
4.2 暫定回避策(緩和策) * Drupalにおいて、ユーザーが
.tar、.tar.gz、.bz2、または.tlz形式の圧縮ファイルのアップロードを禁止するように設定を変更してください。他に解説すべき観点
参照サイト: * CVE-2020-28949 — Known Exploited Vulnerability (CISA KEV, PEAR Archive_Tar) * CVE-2020-28948/28949:Drupal任意PHPコード実行漏洞通告 * Drupal任意PHPコード実行漏洞預警(CVE-2020-28949 - Huawei Cloud * 【漏洞預警】Drupal 遠程代碼執行漏洞(CVE-2020-28949、CVE-2020-28948)-阿里云官网公告 * AVD-2020-28949 - 阿里云漏洞库 * CVE-2020-28949 Detail - NVD * Drupal(CVE-2020-28948&CVE-2020-28949)分析 - Whippet's Blog * CVE-2020-28949: Drupal core - Critical - Arbitrary PHP code execution - Rapid7 Vulnerability Database * 安全漏洞通告 * JVNDB-2020-013772 - JVN iPedia - 脆弱性対策情報データベース * JVNDB-2020-013771 - JVN iPedia - 脆弱性対策情報データベース * 【漏洞通告】Drupal远程代码执行漏洞(CVE-2020-28948/CVE-2020-28949) - 绿盟科技