OpenProjectはオープンソースのウェブベースプロジェクト管理ソフトウェアです。バージョン16.6.4以前のOpenProjectのワークパッケージPDFエクスポート機能にはローカルファイル読み取り(LFR)脆弱性が存在します。特殊に細工されたSVGファイル(PNGに偽装)をワークパッケージの添付ファイルとしてアップロードすることで、攻撃者はバックエンドの画像処理エンジン(ImageMagick)を悪用できます。ワークパッケージをPDFにエクスポートする際に、バックエンドが画像のリサイズを試み、その過程でImageMagickのtext: coderがトリガーされます。これにより、攻撃者はアプリケーションユーザーがアクセス権を持つ任意のローカルファイル(例:/etc/passwd、全プロジェクト構成ファイル、プライベートプロジェクトデータなど)を読み取ることが可能になります。この攻撃は、ワークパッケージのようにPDFにエクスポート可能なコンテナへの添付ファイルアップロード権限を必要とします。問題はバージョン16.6.4で修正されています。アップグレードが困難な場合は、手動でパッチを適用することが推奨されます。
|