公開日:2025/11/19 最終更新日:2025/11/19

JVNVU#92758463
Wolfram Cloudに一時ディレクトリの競合状態に起因する権限昇格につながる脆弱性

概要

Wolfram Cloudには、一時ディレクトリの競合状態に起因する権限昇格につながる脆弱性が存在します。

影響を受けるシステム

  • Wolfram Cloud バージョン 14.2

詳細情報

Wolfram Cloudのマルチテナントクラウド環境には、各ユーザーが共通で利用する一時ディレクトリ(/tmp/)があります。このディレクトリは、競合状態により同一クラウドインスタンス上の他のユーザー領域にアクセスできてしまうため、攻撃者が悪意のあるファイルを配置することで、権限昇格につながる可能性があります。(CVE-2025-11919、CWE-362)

想定される影響

攻撃者が各ユーザーが共通で利用する一時ディレクトリ(/tmp/)にアクセスして悪意のあるファイルを配置することで、 他のユーザの権限を取得する可能性があります。結果として取得したユーザの環境の情報を取得したり、取得したユーザの権限で任意のコードを実行したりする可能性があります。

対策方法

アップデートする
開発者は、アップデートを提供しています。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

参考情報

  1. CERT/CC Vulnerability Note VU#553375
    Unprotected temporary directories in Wolfram Cloud version 14.2 may result in privilege escalation
  2. vulnerability-wolfram-cloud-14.2
    Multi-Tenant Classpath Injection Vulnerability in Wolfram Cloud

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia