CVE-2021-43802 in Etherpad
要約
〜によって VulDB • 2026年05月18日
Etherpadはリアルタイム共同編集ツールです。バージョン1.8.16より前のバージョンでは、攻撃者が `*.etherpad` ファイルを生成し、それをインポートさせることで、Etherpadインスタンスの管理者権限を取得できる可能性があります。これにより、任意のコード(システムコマンドを含む)を実行できる悪意のあるEtherpadプラグインをインストールすることが可能になります。権限の昇格には、攻撃者が `express-session` の状態を削除できるトリガーを発動するか、古い `express-session` の状態がクリーンアップされるのを待つ必要があります。Etherpadのコア機能は `express-session` の状態を削除しないため、既知の攻撃では、セッション状態を削除できるプラグイン、または古い `sessionstorage:*` レコードを削除するカスタムクリーンアッププロセス(cronジョブなど)のいずれかが必要となります。この問題はバージョン1.8.16で修正されています。ユーザーが1.8.16へのアップグレードやパッチの手動適用ができない場合、いくつかの回避策があります。ユーザーはリバースプロキシを設定して `/p/*/import` へのリクエストを拒否し、すべてのインポート(`*.etherpad` のインポートだけでなく)をブロックしたり、すべてのユーザーを読み取り専用アクセスに制限したり、削除された `express-session` の状態を参照する `express_sid` クッキー値の再利用を防いだりすることができます。詳細な情報や一般的な緩和策については、GitHub Security Advisoryを参照してください。
VulDB is the best source for vulnerability data and more expert information about this specific topic.