人気ファイル共有ツールZendToに、認証されたユーザーがシステムパスを辿り、他のユーザーの機密ファイルにアクセスまたは変更できる重大な脆弱性が発見されました。この脆弱性はCVE-2025-34508として追跡されており、ZendToのバージョン6.15-7以前に影響を与えます。攻撃者はこの問題を悪用して、サーバーログ、ユーザーデータ、さらには重要なアプリケーションファイルを読み取ることができます。ZendToはバージョン6.15-8でパッチをリリースしており、管理者は不正アクセスを防ぐため、直ちにアップデートすることが強く推奨されます。

### パス・トラバーサルはどのように発生するか

ZendToは、ユーザーが安全なウェブインターフェースを通じて大容量ファイルをアップロードおよびダウンロードできるように設計されています。ファイルがアップロードされる際、アプリケーションは`chunkName`と`tmp_name`という2つの主要なパラメータを使用します。通常、`chunkName`はクライアントサイドのスクリプトによって生成され、英数字のみを許可するようにクリーンアップされます。しかし、`chunkName`に英数字が含まれていない場合、コードはベースのアップロードディレクトリにフォールバックします。次に、ZendToは`tmp_name`をアップロードディレクトリパスと結合しますが、この際に適切なサニタイズが行われません。

攻撃者は、例えば`/../../log/zendto/zendto.log`のような特別に細工された`tmp_name`を提供することで、サーバー上の任意のファイルを自身のドロップオフに移動させることができます。これにより、攻撃者がドロップオフパッケージをダウンロードした際に、その内容が明らかになります。デフォルト設定では、ウェブサーバーユーザーがアクセスできるファイルはすべて危険にさらされており、これにはアップロードされたファイル、ログ、設定データなどが含まれます。

概念実証では、ある研究者が`chunkName`に`.`を、`tmp_name`に`/../../log/zendto/zendto.log`を使用しました。これにより、サーバーは自身のログファイルをドロップオフディレクトリに移動させました。攻撃者はその後ログファイルをダウンロードし、その中に含まれる内部識別子を利用して、他のすべてのドロップオフデータへのアクセス権を獲得しました。これらの識別子があれば、攻撃者は正当なユーザーによってアップロードされたすべてのファイルを体系的に取得することが可能です。

データ窃盗に加えて、攻撃者はZendToのデータベースやコアソフトウェアファイルを標的にすることもできます。これらを削除または破損させることで、サービスが利用不能になり、サービス拒否（DoS）状態を引き起こす可能性があります。この事例は、有効なログインを必要とする脆弱性であっても、パス検証が不十分な場合には強力な脅威となり得ることを浮き彫りにしています。

ZendToはCVE-2025-34508にバージョン6.15-8で対処しました。管理者は遅滞なくアップグレードすべきです。直ちにアップデートできないユーザーは、ウェブサーバーユーザーが意図されたディレクトリ外のファイルを読み取ったり移動させたりできないようにファイルシステム権限を制限することで、一時的な緩和策を講じることができます。不審なドロップオフ活動がないかサーバーログを監視することも推奨されます。

アプリケーション所有者は、多層防御のアプローチを採用すべきです。常にクライアント側とサーバー側の両方でユーザー入力を検証し、サニタイズしてください。厳格なパス正規化を強制するセキュリティフレームワークを採用し、ファイルアップロードおよびダウンロードロジックにおけるパス・トラバーサルおよび関連する問題について定期的にレビューおよびテストを行ってください。

元記事へのリンク: [https://gbhackers.com/zendto-flaw-lets-attackers-bypass-security-controls-to-access-sensitive-data/](https://gbhackers.com/zendto-flaw-lets-attac kers-bypass-security-controls-to-access-sensitive-data/)