NVD脆弱性詳細

CVE-2023-27534

概要	A path traversal vulnerability exists in curl <8.0.0 SFTP implementation causes the tilde (~) character to be wrongly replaced when used as a prefix in the first path element, in addition to its intended use as the first element to indicate a path relative to the user's home directory. Attackers can exploit this flaw to bypass filtering or execute arbitrary code by crafting a path like /~2/foo while accessing a server with a specific user.
公表日	2023年3月31日5:15
登録日	2023年3月31日10:00
最終更新日	2024年11月21日16:53

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:haxx:curl::::::::		7.18.0	7.88.1

構成2		以上	以下	より上	未満
cpe:2.3:o:fedoraproject:fedora:36:::::::*

構成3	以上	以下	より上	未満
cpe:2.3:a:netapp:active_iq_unified_manager:-:::::vmware_vsphere::
cpe:2.3:o:broadcom:brocade_fabric_operating_system_firmware:-:::::::*

構成8	以上	以下	より上	未満
cpe:2.3:a:splunk:universal_forwarder:9.1.0:::::::*
cpe:2.3:a:splunk:universal_forwarder::::::::	9.0.0			9.0.6
cpe:2.3:a:splunk:universal_forwarder::::::::	8.2.0			8.2.12

関連情報、対策とツール

No	URL	タグ
1	https://hackerone.com/reports/1892351	Exploit Third Party Advisory
2	https://hackerone.com/reports/1892351	Exploit Third Party Advisory
3	https://lists.debian.org/debian-lts-announce/2024/03/msg00016.html	Mailing List Third Party Advisory
4	https://lists.debian.org/debian-lts-announce/2024/03/msg00016.html	Mailing List Third Party Advisory
5	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/36NBD5YLJXXEDZLDGNFCERWRYJQ6LAQW/	Mailing List Third Party Advisory
6	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/36NBD5YLJXXEDZLDGNFCERWRYJQ6LAQW/	Mailing List Third Party Advisory
7	https://security.gentoo.org/glsa/202310-12	Third Party Advisory
8	https://security.gentoo.org/glsa/202310-12	Third Party Advisory
9	https://security.netapp.com/advisory/ntap-20230420-0012/	Third Party Advisory
10	https://security.netapp.com/advisory/ntap-20230420-0012/	Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html

JVN脆弱性情報

Haxx の cURL 他複数ベンダの製品におけるパストラバーサルの脆弱性

タイトル	Haxx の cURL 他複数ベンダの製品におけるパストラバーサルの脆弱性
概要	Haxx の cURL 他複数ベンダの製品には、パストラバーサルの脆弱性が存在します。
想定される影響	情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
対策	参考情報を参照して適切な対策を実施してください。
公表日	2023年3月30日0:00
登録日	2023年11月15日12:21
最終更新日	2023年12月21日15:43

影響を受けるシステム

Broadcom

Brocade Fabric OS

Fedora Project

Fedora 36

Haxx

cURL 7.18.0 から 7.88.1

NetApp

Active IQ Unified Manager

H300S ファームウェア

H410S ファームウェア

H500S ファームウェア

H700S ファームウェア

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2023-27534	https://www.cve.org/CVERecord?id=CVE-2023-27534
National Vulnerability Database (NVD)
2	CVE-2023-27534	https://nvd.nist.gov/vuln/detail/CVE-2023-27534

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-23-348-10	https://www.cisa.gov/news-events/ics-advisories/icsa-23-348-10
JVN
2	JVNVU#98271228	https://jvn.jp/vu/JVNVU98271228/index.html
関連文書
3	hackerone.com (reports/1892351)	https://hackerone.com/reports/1892351
4	lists.fedoraproject.org (36NBD5YLJXXEDZLDGNFCERWRYJQ6LAQW)	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/36NBD5YLJXXEDZLDGNFCERWRYJQ6LAQW/
5	security.gentoo.org (202310-12)	https://security.gentoo.org/glsa/202310-12
6	security.netapp.com (ntap-20230420-0012)	https://security.netapp.com/advisory/ntap-20230420-0012/

変更履歴

No	変更内容	変更日
1	[2023年11月15日] 掲載	2023年11月15日12:21
2	[2023年12月21日] 参考情報：JVN (JVNVU#98271228) を追加参考情報：ICS-CERT ADVISORY (ICSA-23-348-10) を追加	2023年12月21日14:07