JVN#54451757
SKYSEA Client View における複数の脆弱性

Sky 株式会社が提供する SKYSEA Client View には、複数の脆弱性が存在します。

CVE-2024-21805

• SKYSEA Client View Ver.16.100 から Ver.19.3 より前のバージョン

• SKYSEA Client View Ver.11.220 から Ver.19.2 より前のバージョン

Sky 株式会社が提供する SKYSEA Client View は、IT 資産管理用ツールです。
SKYSEA Client View には、次の複数の脆弱性が存在します。

• 特定フォルダにおけるアクセス制限不備 (CWE-276) - CVE-2024-21805

  CVSS v3	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N	基本値: 3.3
  CVSS v2	AV:L/AC:L/Au:S/C:N/I:P/A:N	基本値: 1.7

  一般ユーザの権限で特定のフォルダにアクセス可能であることを一次的な影響と評価し、機密性（C）および可用性（A）への影響を「なし (N)」と評価しています。
  なお、細工された DLL ファイルが配置された場合、二次的な影響として SYSTEM 権限で任意のコードを実行される可能性があります。二次的な影響までを含めて評価すると、機密性（C）、完全性（I）、可用性（A）はいずれも「高 (H)」となります。
• 常駐プロセスにおけるアクセス制限不備 (CWE-749) - CVE-2024-24964

  CVSS v3	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H	基本値: 7.8
  CVSS v2	AV:L/AC:L/Au:S/C:P/I:P/A:P	基本値: 4.3

想定される影響は各脆弱性により異なりますが、当該製品の Windows クライアントがインストールされた PC にログイン可能なユーザによって、次のような影響を受ける可能性があります。

• 任意のファイルを特定のフォルダに配置される。配置されたファイルが細工された DLL ファイルの場合、結果として SYSTEM 権限で任意のコードを実行される - CVE-2024-21805
• SYSTEM 権限で任意のプロセスを実行される - CVE-2024-24964

CVE-2024-21805向け対策
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
当該脆弱性は、SKYSEA Client View Ver.19.3 で修正されています。

パッチを適用する
開発者は、SKYSEA Client View Ver.17.0 から Ver.19.2 までのユーザ向けに修正パッチを提供しています。

【2024/7/29 追記】
本件を2024年3月7日に公表した時点では、影響を受ける製品のバージョンは Ver.16.100 から Ver.19.2 としていましたが、その後さらなる修正が行われ、Ver.19.3 がリリースされました。

CVE-2024-24964向け対策
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
当該脆弱性は、SKYSEA Client View Ver.19.2 で修正されています。

パッチを適用する
開発者は、SKYSEA Client View Ver.17.0 から Ver.19.101 までのユーザ向けに修正パッチを提供しています。

詳しくは、開発者が提供する情報を確認してください。