| Title | ERLANGのErlang/OTP等の複数製品におけるパストラバーサルの脆弱性 |
|---|---|
| Summary | Erlang OTPのssh(ssh_sftpdモジュール)には、制限されたディレクトリへのパス名の不適切な制限(パストラバーサル)脆弱性があります。この脆弱性により、認証済みのSFTPユーザーが設定されたchrootディレクトリの外にあるファイル属性を変更できる可能性があります。SFTPデーモン(ssh_sftpd)は、chroot解決後のパスではなく、ユーザーから提供された生のパスをファイルハンドルに保存します。そのため、SSH_FXP_FSETSTATがそのようなハンドルに対して実行されると、ファイル属性(パーミッション、所有権、タイムスタンプ)が実際のファイルシステム上のパスで変更され、ルートディレクトリの制限を完全に回避してしまいます。ルートオプションで設定されたサーバー上の認証済みSFTPユーザーは、意図されたchroot境界外のファイル属性を変更できます。前提条件として、対象ファイルは実際のファイルシステムに同じ相対パスで存在していなければなりません。この脆弱性はファイルの属性の変更のみを許可し、ファイル内容の閲覧や改変はこの攻撃経路では不可能です。SSHデーモンがroot権限で実行されている場合、攻撃者は任意のバイナリにsetuidビットを設定したり、機密ファイルの所有権を変更したり、システム設定を全ユーザー書き込み可能にするなどして直接的な権限昇格を実現できます。この脆弱性はlib/ssh/src/ssh_sftpd.erlのプログラムファイルおよびssh_sftpd:do_open/4、ssh_sftpd:handle_op/4のプログラムルーチンに関連しています。この問題はOTPバージョン17.0から28.4.3、27.3.4.11、26.2.5.20に影響し、それに対応するsshバージョン3.01から5.5.3、5.2.11.7、および5.1.4.15が対象となっています。 |
| Possible impacts | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 21, 2026, midnight |
| Registration Date | May 25, 2026, 10:25 a.m. |
| Last Update | May 25, 2026, 10:25 a.m. |
| CVSS3.0 : 警告 | |
| Score | 4.3 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
| ERLANG |
| Erlang/OTP 17.0 以上 26.2.5.20 未満 |
| Erlang/OTP 27.0 以上 27.3.4.11 未満 |
| Erlang/OTP 28.0 以上 28.4.3 未満 |
| Erlang/ssh 3.0.1 以上 5.1.4.15 未満 |
| Erlang/ssh 5.2 以上 5.2.11.7 未満 |
| Erlang/ssh 5.5 以上 5.5.2 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月25日] 掲載 |
May 25, 2026, 10:25 a.m. |
| Summary | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability in Erlang OTP ssh (ssh_sftpd module) allows an authenticated SFTP user to modify file attributes outside the configured chroot directory. The SFTP daemon (ssh_sftpd) stores the raw, user-supplied path in file handles instead of the chroot-resolved path. When SSH_FXP_FSETSTAT is issued on such a handle, file attributes (permissions, ownership, timestamps) are modified on the real filesystem path, bypassing the root directory boundary entirely. Any authenticated SFTP user on a server configured with the root option can modify file attributes of files outside the intended chroot boundary. The prerequisite is that a target file must exist on the real filesystem at the same relative path. Note that this vulnerability only allows modification of file attributes; file contents cannot be read or altered through this attack vector. If the SSH daemon runs as root, this enables direct privilege escalation: an attacker can set the setuid bit on any binary, change ownership of sensitive files, or make system configuration world-writable. This vulnerability is associated with program files lib/ssh/src/ssh_sftpd.erl and program routines ssh_sftpd:do_open/4 and ssh_sftpd:handle_op/4. This issue affects OTP from OTP 17.0 until OTP 28.4.3, 27.3.4.11, and 26.2.5.20 corresponding to ssh from 3.01 until 5.5.3, 5.2.11.7, and 5.1.4.15. |
|---|---|
| Publication Date | April 21, 2026, 9:15 p.m. |
| Registration Date | April 25, 2026, 4:03 a.m. |
| Last Update | April 22, 2026, 1:20 a.m. |