| 概要 | A path traversal vulnerability exists in rsync. It stems from behavior enabled by the `--inc-recursive` option, a default-enabled option for many client options and can be enabled by the server even if not explicitly enabled by the client. When using the `--inc-recursive` option, a lack of proper symlink verification coupled with deduplication checks occurring on a per-file-list basis could allow a server to write files outside of the client's intended destination directory. A malicious server could write malicious files to arbitrary locations named after valid directories/paths on the client. |
|---|---|
| 概要 | Existe una vulnerabilidad Path Traversal en rsync. Se origina en un comportamiento habilitado por la opción `--inc-recursive`, una opción habilitada de manera predeterminada para muchas opciones de cliente y que puede ser habilitada por el servidor incluso si no está habilitada explícitamente por el cliente. Al usar la opción `--inc-recursive`, la falta de una verificación de enlace simbólico adecuada junto con las comprobaciones de deduplicación que se realizan en una lista de archivos por archivo podría permitir que un servidor escriba archivos fuera del directorio de destino previsto del cliente. Un servidor malintencionado podría escribir archivos malintencionados en ubicaciones arbitrarias con nombres de directorios/rutas válidos en el cliente. |
| 公表日 | 2025年1月15日3:15 |
| 登録日 | 2025年1月16日4:05 |
| 最終更新日 | 2026年4月15日7:16 |
| CVSS3.1 : HIGH | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | なし |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:samba:rsync:*:*:*:*:*:*:*:* | 3.3.0 | ||||
| cpe:2.3:o:almalinux:almalinux:8.0:-:*:*:*:*:*:* | |||||
| cpe:2.3:o:almalinux:almalinux:9.0:-:*:*:*:*:*:* | |||||
| cpe:2.3:o:almalinux:almalinux:10.0:-:*:*:*:*:*:* | |||||
| cpe:2.3:o:archlinux:arch_linux:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:gentoo:linux:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:nixos:nixos:*:*:*:*:*:*:*:* | 24.11 | ||||
| cpe:2.3:o:suse:suse_linux:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:tritondatacenter:smartos:*:*:*:*:*:*:*:* | 20250123 | ||||
| cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux:9.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_eus:9.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_arm_64:8.0_aarch64:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_arm_64:9.0_aarch64:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_arm_64_eus:9.6_aarch64:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems:8.0_s390x:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems:9.0_s390x:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems_eus:9.6_s390x:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_power_little_endian:8.0_ppc64le:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_power_little_endian:9.0_ppc64le:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_power_little_endian_eus:9.6_ppc64le:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_server_aus:9.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_server_for_power_little_endian_update_services_for_sap_solutions:9.6_ppc64le:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_update_services_for_sap_solutions:9.6:*:*:*:*:*:*:* | |||||
| タイトル | Samba Project の rsync 等複数ベンダの製品におけるパストラバーサルの脆弱性 |
|---|---|
| 概要 | Samba Project の rsync 等複数ベンダの製品には、パストラバーサルの脆弱性が存在します。 |
| 想定される影響 | 情報を改ざんされる可能性があります。 |
| 対策 | 参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2024年12月3日0:00 |
| 登録日 | 2025年7月1日16:25 |
| 最終更新日 | 2025年9月22日10:44 |
| AlmaLinux OS Foundation |
| AlmaLinux 10.0 |
| AlmaLinux 8.0 |
| AlmaLinux 9.0 |
| Arch Linux |
| Arch Linux |
| レッドハット |
| enterprise linux for arm 64 8.0 aarch64 |
| enterprise linux for arm 64 9.0 aarch64 |
| enterprise linux for arm 64 eus 9.6 aarch64 |
| enterprise linux update services for sap solutions 9.6 |
| Red Hat Enterprise Linux 8.0 |
| Red Hat Enterprise Linux 9.0 |
| Red Hat Enterprise Linux EUS 9.6 |
| Red Hat Enterprise Linux for IBM z Systems 8.0 s390x |
| Red Hat Enterprise Linux for IBM z Systems 9.0 s390x |
| Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 9.6 s390x |
| Red Hat Enterprise Linux for Power Little Endian Update Services for SAP Solutions 9.6 ppc64le |
| Red Hat Enterprise Linux for Power, little endian 8.0 ppc64le |
| Red Hat Enterprise Linux for Power, little endian 9.0 ppc64le |
| Red Hat Enterprise Linux for Power, little endian - Extended Update Support 9.6 ppc64le |
| Red Hat Enterprise Linux Server AUS 9.6 |
| Samba Project |
| rsync 3.3.0 およびそれ以前 |
| 日本電気 |
| UNIVERGE Network Operation Engine |
| Gentoo Linux |
| Gentoo Linux |
| SUSE |
| SUSE LINUX |
| NixOS |
| NixOS 24.11 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2025年07月01日] 掲載 |
2025年7月1日16:25 |
| 2 | [2025年09月22日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日本電気 (NV25-004) を追加 |
2025年9月22日10:44 |