Windowsで動く複数のプログラミング言語の脆弱性に注意喚起、JPCERT/CC

画像提供：マイナビニュース

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月15日、「JVNVU#94343502: 複数のプログラミング言語のWindows環境におけるコマンド実行処理において引数のエスケープ処理が適切でない問題」において、Windows上で動作する複数のプログラミング言語に引数を適切にエスケープしない脆弱性が存在するとして、注意を喚起した。この脆弱性はアプリケーションのコマンドインジェクションにつながる可能性がある。

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

VU#123335 - Multiple programming languages fail to escape arguments properly in Microsoft Windows
Windowsで動くプログラミング言語に脆弱性、引数の扱い方の穴を突いて攻撃 | TECH+（テックプラス）

脆弱性に関連した情報(CVE)は次のとおり。

CVE-2024-1874 - PHPのproc_openにコマンドインジェクションの脆弱性

CVE-2024-22423 - yt-dlpにコマンドインジェクションの脆弱性。オプション「-exec %q」には不適切なエスケープ処理が存在する(参考：「--exec command injection when using %q in yt-dlp on Windows (CVE-2023-40581 bypass) Advisory yt-dlp/yt-dlp GitHub」)

CVE-2024-24576 - RustのCommand APIに不適切なエスケープの脆弱性。Rustの開発者は適切にエスケープする方法はないと判断し、安全ではない引数を入力エラーとして処理する方法で対策した。この修正は悪意のない有効な引数をエラーとみなす可能性がある
CVE-2024-27980 - Node.jsの「child_process.spawn」および「child_process.spawnSync」にコマンドインジェクションの脆弱性。攻撃者は悪意のあるコマンドライン引数を使用して任意のコマンドを実行する可能性がある

CVE-2024-3566 - コマンドインジェクションの脆弱性。CreateProcess関数に間接的に依存するWindowsアプリケーションに影響する可能性がある