CVE-2023-51651
AWS SDK for PHPにおける、S3オブジェクトへのアクセス時の不適切な正規化処理に伴う脆弱性
報告者
金子 孟司
概要
S3オブジェクトのkey/prefixでは「../」のような文字列は特別な意味を持たず、ファイルシステムにおけるパストラバーサルのような脆弱性は通常発生しません。一方で、AWS SDK for PHPの該当バージョンにおいては、S3オブジェクトへのアクセス時にURIに対する正規化処理が行われていたため、アプリケーションの設計によってはパストラバーサルに類似する脆弱性が発生する可能性がありました。
影響を受けるシステムおよびバージョン
<3.288.1
CVSS
CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N 基本値: 6.0
参考情報
https://github.com/aws/aws-sdk-php/security/advisories/GHSA-557v-xcg6-rm5m
