| Summary | A flaw was found in rsync. When using the `--safe-links` option, the rsync client fails to properly verify if a symbolic link destination sent from the server contains another symbolic link within it. This results in a path traversal vulnerability, which may lead to arbitrary file write outside the desired directory. |
|---|---|
| Summary | Se encontró un fallo en rsync. Al usar la opción `--safe-links`, rsync no verifica correctamente si un destino de enlace simbólico contiene otro enlace simbólico dentro de él. Esto genera una vulnerabilidad de Path Traversal, que puede provocar la escritura arbitraria de archivos fuera del directorio deseado. |
| Publication Date | Jan. 15, 2025, 3:15 a.m. |
| Registration Date | Jan. 16, 2025, 4:05 a.m. |
| Last Update | April 15, 2026, 7:16 a.m. |
| CVSS3.1 : HIGH | |
| スコア | 7.5 |
|---|---|
| Vector | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | なし |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:samba:rsync:*:*:*:*:*:*:*:* | 3.3.0 | ||||
| cpe:2.3:a:redhat:discovery:1.14:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:openshift_container_platform:4.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux:9.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux:10.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_eus:9.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_arm_64:8.0_aarch64:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_arm_64:9.0_aarch64:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_arm_64_eus:9.6_aarch64:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems:8.0_s390x:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems:9.0_s390x:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems_eus:9.6_s390x:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_power_little_endian:8.0_ppc64le:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_power_little_endian:9.0_ppc64le:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_power_little_endian_eus:9.6_ppc64le:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_server_aus:9.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_server_for_power_little_endian_update_services_for_sap_solutions:9.6_ppc64le:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_update_services_for_sap_solutions:9.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:archlinux:arch_linux:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:gentoo:linux:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:nixos:nixos:*:*:*:*:*:*:*:* | 24.11 | ||||
| cpe:2.3:o:novell:suse_linux:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:tritondatacenter:smartos:*:*:*:*:*:*:*:* | 20250123 | ||||
| cpe:2.3:o:almalinux:almalinux:8.0:-:*:*:*:*:*:* | |||||
| cpe:2.3:o:almalinux:almalinux:9.0:-:*:*:*:*:*:* | |||||
| cpe:2.3:o:almalinux:almalinux:10.0:-:*:*:*:*:*:* | |||||
| Title | Samba Project の rsync 等複数ベンダの製品におけるパストラバーサルの脆弱性 |
|---|---|
| Summary | Samba Project の rsync 等複数ベンダの製品には、パストラバーサルの脆弱性が存在します。 |
| Possible impacts | 情報を改ざんされる可能性があります。 |
| Solution | 参考情報を参照して適切な対策を実施してください。 |
| Publication Date | Dec. 3, 2024, midnight |
| Registration Date | June 30, 2025, 2:33 p.m. |
| Last Update | Sept. 22, 2025, 10:46 a.m. |
| AlmaLinux OS Foundation |
| AlmaLinux 10.0 |
| AlmaLinux 8.0 |
| AlmaLinux 9.0 |
| Arch Linux |
| Arch Linux |
| レッドハット |
| enterprise linux for arm 64 8.0 aarch64 |
| enterprise linux for arm 64 9.0 aarch64 |
| enterprise linux for arm 64 eus 9.6 aarch64 |
| enterprise linux update services for sap solutions 9.6 |
| Red Hat Discovery 1.14 |
| Red Hat Enterprise Linux 10.0 |
| Red Hat Enterprise Linux 6.0 |
| Red Hat Enterprise Linux 7.0 |
| Red Hat Enterprise Linux 8.0 |
| Red Hat Enterprise Linux 9.0 |
| Red Hat Enterprise Linux EUS 9.6 |
| Red Hat Enterprise Linux for IBM z Systems 8.0 s390x |
| Red Hat Enterprise Linux for IBM z Systems 9.0 s390x |
| Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 9.6 s390x |
| Red Hat Enterprise Linux for Power Little Endian Update Services for SAP Solutions 9.6 ppc64le |
| Red Hat Enterprise Linux for Power, little endian 8.0 ppc64le |
| Red Hat Enterprise Linux for Power, little endian 9.0 ppc64le |
| Red Hat Enterprise Linux for Power, little endian - Extended Update Support 9.6 ppc64le |
| Red Hat Enterprise Linux Server AUS 9.6 |
| Red Hat OpenShift Container Platform 4.0 |
| Samba Project |
| rsync 3.3.0 およびそれ以前 |
| 日本電気 |
| UNIVERGE Network Operation Engine |
| Novell |
| SUSE Linux |
| Gentoo Linux |
| Gentoo Linux |
| NixOS |
| NixOS 24.11 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2025年06月30日] 掲載 |
June 30, 2025, 2:33 p.m. |
| 2 | [2025年09月22日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日本電気 (NV25-004) を追加 |
Sept. 22, 2025, 10:45 a.m. |