[github.com]🔒 セキュリティ★★★★★
NASA AMMOS AIT: 未認証リモートからの任意ファイル追記が可能なパストラバーサル脆弱性
NASA AMMOS Instrument Toolkit の BSC コンポーネントに深刻なパストラバーサル脆弱性が発見された。未認証の攻撃者がHTTP API経由でログ出力先を任意パスに変更し、ファイルに攻撃者制御のデータを追記できる。ポートが公開されている場合は直接攻撃が可能で、ローカルネットワーク環境でもブラウザ経由のCSRF的手法で悪用できる。localhost のみでも攻撃が成立する点が特に注意を要する。
編集部の影響度コメント
AIT-BSC を運用しているチームはネットワーク露出状況を即確認し、アップデートまたは該当APIへのアクセス制限を速やかに実施すべき。公開ポートがある環境では特に優先度を上げて対応を。