SVG形式を変換するNode.jsパッケージに複数の脆弱性
SVG(Scalable Vector Graphics)形式の画像フォーマットを他フォーマットに変換できるNode.jsパッケージ「convert-svg」に複数の脆弱性が明らかとなった。アップデートが提供されている。
「convert-svg-core」において「SVGタグ」の処理に問題があり、ディレクトリトラバーサルが可能となる脆弱性「CVE-2022-24278」が明らかとなったもの。細工したSVGファイルを処理すると、脆弱性を悪用されるおそれがある。
共通脆弱性評価システム「CVSSv3.1」のベーススコアを見ると、CVE番号を採番したSnykでは「7.5」と評価し、重要度を「高(High)」としている。一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では「9.8」としており、重要度を「クリティカル(Critical)」とした。
またコードインジェクションが可能となる脆弱性「CVE-2022-24429」も明らかとなっている。細工したSVGファイルを用いることにより、任意のファイルを読み出し、内容をPNGファイルに変換して表示することが可能だという。SnykではCVSS基本値を「7.5」、NVDでは「7.8」と評価している。
開発者は、これら脆弱性を「同0.6.4」にて修正した。脆弱性の詳細についても公開されており、注意が必要となる。
(Security NEXT - 2022/06/22 )
ツイート
PR
関連記事
教員採用選考受検者の自己申告用紙が所在不明に - 新潟県
他県で実施した中学校自然教室で生徒名簿が所在不明に - 横浜市
誤った住所へ会員証を送付、システムトラブルで - JAF
Salesforceのローコード開発ツールに脆弱性 - 設定リスクの指摘も
構成管理ツール「Salt」に複数脆弱性 - 「クリティカル」も
MDMサーバから従業員情報流出、削除データも - ジブラルタ生保
「Kibana」に深刻な脆弱性 - 「Chromium」の既知脆弱性に起因
ファッション通販サイトに不正アクセス、通知メールが送信
サイバー攻撃で元従業員情報が流出した可能性 - クミアイ化学工業
「IBM i」のFAX機能に権限昇格の脆弱性 - 修正パッチを提供