ニュース

「Minecraft」のJava版にディレクトリトラバーサルの脆弱性 ~JVNが注意喚起

「Spigot」「Minecraft Forge」の最新版で本体を更新せずに回避可能

「Minecraft」のJava版にディレクトリトラバーサルの脆弱性(JVN iPediaによる解説)

 脆弱性ポータルサイト「JVN」は7月21日、「Minecraft(マインクラフト)」のJava版にディレクトリトラバーサルの脆弱性「CVE-2021-35054」が存在すると発表した。

 「JVN」によると、「Minecraft Java Edition」v1.17およびそれ以前には、「Minecraft Java Edition」が設置されたサーバーへ悪意あるリクエストを送ることで、任意のJSONファイルを削除できてしまう問題が存在するという。「CVSS v3」における基本値は「5.3」。

 本脆弱性は、プレビュー版の「Minecraft Java Edition」v1.17.1 Pre-release 1で修正されている。「Spigot」サーバーまたはMOD管理ツール「Minecraft Forge」の最新版を使用していれば、「Minecraft Java Edition」のバージョンを変更せずに脆弱性を回避できる。

[お詫びと訂正] 記事初出時、本脆弱性は正式版では未修正とお伝えしましたが、v1.17.1の正式版で修正済みでした。お詫びして訂正いたします。