NVD Vulnerability Detail
Search Exploit, PoC
CVE-2024-12087
Summary

A path traversal vulnerability exists in rsync. It stems from behavior enabled by the `--inc-recursive` option, a default-enabled option for many client options and can be enabled by the server even if not explicitly enabled by the client. When using the `--inc-recursive` option, a lack of proper symlink verification coupled with deduplication checks occurring on a per-file-list basis could allow a server to write files outside of the client's intended destination directory. A malicious server could write malicious files to arbitrary locations named after valid directories/paths on the client.

Summary

Existe una vulnerabilidad Path Traversal en rsync. Se origina en un comportamiento habilitado por la opción `--inc-recursive`, una opción habilitada de manera predeterminada para muchas opciones de cliente y que puede ser habilitada por el servidor incluso si no está habilitada explícitamente por el cliente. Al usar la opción `--inc-recursive`, la falta de una verificación de enlace simbólico adecuada junto con las comprobaciones de deduplicación que se realizan en una lista de archivos por archivo podría permitir que un servidor escriba archivos fuera del directorio de destino previsto del cliente. Un servidor malintencionado podría escribir archivos malintencionados en ubicaciones arbitrarias con nombres de directorios/rutas válidos en el cliente.

Publication Date Jan. 15, 2025, 3:15 a.m.
Registration Date Jan. 16, 2025, 4:05 a.m.
Last Update April 15, 2026, 7:16 a.m.
CVSS3.1 : HIGH
スコア 7.5
Vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C) なし
完全性への影響(I)
可用性への影響(A) なし
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:samba:rsync:*:*:*:*:*:*:*:* 3.3.0
cpe:2.3:o:almalinux:almalinux:8.0:-:*:*:*:*:*:*
cpe:2.3:o:almalinux:almalinux:9.0:-:*:*:*:*:*:*
cpe:2.3:o:almalinux:almalinux:10.0:-:*:*:*:*:*:*
cpe:2.3:o:archlinux:arch_linux:-:*:*:*:*:*:*:*
cpe:2.3:o:gentoo:linux:-:*:*:*:*:*:*:*
cpe:2.3:o:nixos:nixos:*:*:*:*:*:*:*:* 24.11
cpe:2.3:o:suse:suse_linux:-:*:*:*:*:*:*:*
cpe:2.3:o:tritondatacenter:smartos:*:*:*:*:*:*:*:* 20250123
cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_eus:9.6:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_for_arm_64:8.0_aarch64:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_for_arm_64:9.0_aarch64:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_for_arm_64_eus:9.6_aarch64:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems:8.0_s390x:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems:9.0_s390x:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems_eus:9.6_s390x:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_for_power_little_endian:8.0_ppc64le:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_for_power_little_endian:9.0_ppc64le:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_for_power_little_endian_eus:9.6_ppc64le:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:9.6:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_for_power_little_endian_update_services_for_sap_solutions:9.6_ppc64le:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_update_services_for_sap_solutions:9.6:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
Samba Project の rsync 等複数ベンダの製品におけるパストラバーサルの脆弱性
Title Samba Project の rsync 等複数ベンダの製品におけるパストラバーサルの脆弱性
Summary

Samba Project の rsync 等複数ベンダの製品には、パストラバーサルの脆弱性が存在します。

Possible impacts 情報を改ざんされる可能性があります。
Solution

参考情報を参照して適切な対策を実施してください。
Publication Date Dec. 3, 2024, midnight
Registration Date July 1, 2025, 4:25 p.m.
Last Update Sept. 22, 2025, 10:44 a.m.
Affected System
AlmaLinux OS Foundation
AlmaLinux 10.0
AlmaLinux 8.0
AlmaLinux 9.0
Arch Linux
Arch Linux 
レッドハット
enterprise linux for arm 64 8.0 aarch64
enterprise linux for arm 64 9.0 aarch64
enterprise linux for arm 64 eus 9.6 aarch64
enterprise linux update services for sap solutions 9.6
Red Hat Enterprise Linux 8.0
Red Hat Enterprise Linux 9.0
Red Hat Enterprise Linux EUS 9.6
Red Hat Enterprise Linux for IBM z Systems 8.0 s390x
Red Hat Enterprise Linux for IBM z Systems 9.0 s390x
Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 9.6 s390x
Red Hat Enterprise Linux for Power Little Endian Update Services for SAP Solutions 9.6 ppc64le
Red Hat Enterprise Linux for Power, little endian 8.0 ppc64le
Red Hat Enterprise Linux for Power, little endian 9.0 ppc64le
Red Hat Enterprise Linux for Power, little endian - Extended Update Support 9.6 ppc64le
Red Hat Enterprise Linux Server AUS 9.6
Samba Project
rsync 3.3.0 およびそれ以前
日本電気
UNIVERGE Network Operation Engine 
Gentoo Linux
Gentoo Linux 
SUSE
SUSE LINUX 
NixOS
NixOS 24.11 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2025年07月01日]
  掲載		 July 1, 2025, 4:25 p.m.
2 [2025年09月22日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日本電気 (NV25-004) を追加		 Sept. 22, 2025, 10:44 a.m.