公開日:2022/03/30 最終更新日:2022/03/30
JVN#10140834
アタッシェケースにおける DLL 読み込みに関する脆弱性
アタッシェケースには、DLL 読み込みに関する脆弱性が存在します。
- アタッシェケース ver.3.6.1.0 およびそれ以前 - CVE-2022-28128
- アタッシェケース ver.4.0.2.7 およびそれ以前 - CVE-2022-25348
HiBARA Software が提供するアタッシェケースは、オープンソースのファイル暗号化ソフトです。アタッシェケースの実行ファイル (AttacheCase.exe) には、DLL を読み込む際の検索パスに問題があり、起動時に意図しない DLL を読み込んでしまう脆弱性 (CWE-427) が存在します。
実行ファイルを実行している権限で、任意のコードを実行される可能性があります。
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
CVSS v3
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
基本値:
7.8
CVSS v2
AV:N/AC:M/Au:N/C:P/I:P/A:P
基本値:
6.8
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 三井物産セキュアディレクション株式会社 塚本 泰三 氏
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2022-28128 |
CVE-2022-25348 |
|
JVN iPedia |
JVNDB-2022-000022 |