公開日:2025/10/16 最終更新日:2025/10/16
JVN#13030751
ChatLuckにおける複数の脆弱性
株式会社ネオジャパンが提供するChatLuckには、複数の脆弱性が存在します。
CVE-2025-53858、CVE-2025-54461
- ChatLuck V6.6 R2.0およびそれ以前のバージョン
- ChatLuck V3.6 R1.0からV6.6 R1.0までのバージョン
株式会社ネオジャパンが提供するChatLuckには、次の複数の脆弱性が存在します。
- 「チャットルーム」におけるクロスサイトスクリプティング(CWE-79)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8
- CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4
- CVE-2025-53858
- ゲストユーザ招待機能におけるアクセス制限不備(CWE-1220)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 6.9
- CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値 5.3
- CVE-2025-54461
- 「ゲストユーザ登録」におけるクロスサイトスクリプティング(CWE-79)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.3
- CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1
- CVE-2025-58115
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 当該製品にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2025-53858、CVE-2025-58115)
- 本来ゲストユーザとして招待されていない第三者によって、ゲストユーザ登録をされる(CVE-2025-54461)
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
各脆弱性は、次のバージョンで修正されています。
CVE-2025-53858、CVE-2025-54461
- ChatLuck V6.7 R1.0
- ChatLuck V6.6 R2.0
詳細は、開発者が提供する情報を確認してください。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2025-53858 |
|
CVE-2025-54461 |
|
|
CVE-2025-58115 |
|
| JVN iPedia |
JVNDB-2025-000076 |
