fbpx

CVE-2023-51651

AWS SDK for PHPにおける、S3オブジェクトへのアクセス時の不適切な正規化処理に伴う脆弱性


報告者

金子 孟司

概要

S3オブジェクトのkey/prefixでは「../」のような文字列は特別な意味を持たず、ファイルシステムにおけるパストラバーサルのような脆弱性は通常発生しません。一方で、AWS SDK for PHPの該当バージョンにおいては、S3オブジェクトへのアクセス時にURIに対する正規化処理が行われていたため、アプリケーションの設計によってはパストラバーサルに類似する脆弱性が発生する可能性がありました。

影響を受けるシステムおよびバージョン

<3.288.1

CVSS

CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N 基本値: 6.0

参考情報

https://github.com/aws/aws-sdk-php/security/advisories/GHSA-557v-xcg6-rm5m

経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード