JVN#66673020
Defense Platform Home Editionにおける複数の脆弱性

ハミングヘッズ株式会社が提供するDefense Platform Home Editionには、複数の脆弱性が存在します。

• Defense Platform Home Edition Ver.3.9.51.x およびそれ以前のバージョン

ハミングヘッズ株式会社が提供するDefense Platform Home Editionには、次の複数の脆弱性が存在します。

• 特定プロセスにおけるメッセージ処理の不備（CWE-422）
  • CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H 基本値 8.8
  • CVE-2025-20094
• 不適切な権限管理（CWE-250）
  • CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N 基本値 6.5
  • CVE-2025-22890
• 特定プロセスにおけるメッセージ処理の不備（CWE-422）
  • CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N 基本値 6.5
  • CVE-2025-22894
• DeviceIoControlにおけるバッファオーバーフロー（CWE-120）
  • CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H 基本値 8.8
  • CVE-2025-23236
• DeviceIoControlにおけるNULLポインタ参照（CWE-476）
  • CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H 基本値 6.5
  • CVE-2025-24483
• DPprd.sysおよびDPavd.sysにおける引数インジェクション（CWE-88）
  • CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:H 基本値 6.3
  • CVE-2025-24845

想定される影響は各脆弱性により異なりますが、当該製品が動作するWindowsシステムにアクセス可能な攻撃者によって、次のような影響を受ける可能性があります。

• 当該製品が動作するWindowsシステムの特定プロセスに細工したメッセージを送信された場合、SYSTEM権限で任意のコードを実行される（CVE-2025-20094）
• 特定の操作を実行することで、当該製品が動作するWindowsシステムのSYSTEM権限を取得される（CVE-2025-22890、CVE-2025-23236）
• 当該製品が動作するWindowsシステムの特定プロセスに細工したメッセージを送信された場合、当該システム内の任意のファイルを改ざんされる。結果として、SYSTEM権限で任意のDLLを実行される（CVE-2025-22894）
• 当該製品が動作するWindowsシステムに細工したデータを入力した場合、ブルースクリーン（BSOD）エラーが引き起こされ、サービス運用妨害（DoS）状態を引き起こされる（CVE-2025-24483、CVE-2025-24845）

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。