JVNVU#93543156
Epson Web Installer（Mac版）における重要な機能に対する認証の欠如の脆弱性

セイコーエプソン株式会社が提供するEpson Web Installer（Mac版）には、重要な機能に対する認証の欠如の脆弱性が存在します。

影響を受ける製品は広範囲に及びます。
詳細は、開発者が提供する情報を確認してください。

セイコーエプソン株式会社が提供するEpson Web Installer（Mac版）は、同社製品のドライバをインストールする際に使用するサポートツールです。Epson Web Installer（Mac版）を実行する際、内包するヘルパーツールを起動します。このヘルパーツールには、次の脆弱性が存在します。

• 重要な機能に対する認証の欠如（CWE-306）
  • CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4
  • CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8
  • CVE-2025-4960
  • 本脆弱性は、ヘルパーツールが起動している場合にのみ影響を受けます

攻撃者によって特別に細工されたファイルをユーザが実行した場合、Epson Web Installer（Mac版）が動作するMacシステム上の情報を窃取されたり、改ざんされたり、システム運用妨害（DoS）状態を引き起こされたりする可能性があります。

当該ヘルパーツールは2025年6月23日に開発者によって修正済みです。
また、Epson Web Installer（Mac版）は実行毎に最新版がダウンロードされ、Epson Web Installer（Mac版）の実行終了後に当該ヘルパーツールは自動削除されます。
そのため、ユーザは本脆弱性への対応について自発的行動を取る必要はありません。