ここから本文です

「SaAT Personal」「SaAT Netizen」に任意コード実行の脆弱性(JVN)

6/5(月) 16:35配信

ScanNetSecurity

独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は6月2日、ネットムーブ株式会社が提供する「SaAT Personal」および「SaAT Netizen」のインストーラおよび動作確認ツールに、DLL読み込みに関する脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3による最大Base Scoreは7.8。電子の妖精氏が報告を行った。

「SaAT Personal インストーラ ver.1.0.10.272 およびそれ以前」「SaAT Netizen インストーラ ver.1.2.10.510 およびそれ以前」には、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう複数の脆弱性(CVE-2017-2207、CVE-2017-2206)が存在する。この脆弱性により、インストーラを実行している権限で任意のコードを実行される可能性がある。JVNでは、開発者が提供する情報をもとに、最新のインストーラを使用するよう呼びかけている。

(吉澤 亨史)

最終更新:6/5(月) 16:35
ScanNetSecurity