公開日:2024/07/29 最終更新日:2024/07/29

JVN#84326763
SKYSEA Client Viewにおける複数の脆弱性

概要

Sky株式会社が提供するSKYSEA Client Viewには、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2024-41139

  • SKYSEA Client View Ver.6.010.06からVer.19.210.04eまで
CVE-2024-41143
  • SKYSEA Client View Ver.3.013.00からVer.19.210.04eまで
CVE-2024-41726
  • SKYSEA Client View Ver.15.200.13iからVer.19.210.04eまで

詳細情報

Sky株式会社が提供するSKYSEA Client Viewは、IT資産管理用ツールです。
SKYSEA Client Viewには、次の複数の脆弱性が存在します。

  • 特定プロセスにおけるアクセス制限不備(CWE-266
    • CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.8
    • CVE-2024-41139
  • 共有メモリを介したデータ交換におけるリクエスト発信元の検証欠如(CWE-346
    • CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.8
    • CVE-2024-41143
  • パストラバーサル(CWE-22
    • CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.5
    • CVE-2024-41726

想定される影響

想定される影響は各脆弱性により異なりますが、当該製品のWindowsクライアントがインストールされたPCにログイン可能なユーザによって、次のような影響を受ける可能性があります。

  • 特定のフォルダに細工されたDLLファイルを配置された場合、SYSTEM権限で任意のコードを実行される(CVE-2024-41139)
  • SYSTEM権限で任意のプロセスを実行される(CVE-2024-41143)
  • 任意の実行ファイルを起動される(CVE-2024-41726)

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
当該脆弱性は、SKYSEA Client View Ver.19.3で修正されています。

パッチを適用する
開発者は、SKYSEA Client View Ver.17.0からVer.19.210.04eまでのユーザ向けに修正パッチを提供しています。
詳しくは、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Sky株式会社 【重要】特定プロセスにおけるアクセス制限不備の脆弱性(CVE-2024-41139) / 共有メモリを介したデータ交換におけるリクエスト発信元の検証欠如の脆弱性(CVE-2024-41143) / パストラバーサルの脆弱性(CVE-2024-41726)

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、下記の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的にJVNでの公表に至りました。
報告者: GMOサイバーセキュリティ byイエラエ株式会社 ルスラン サイフィエフ 氏、デニス ファウストヴ 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2024-41139
CVE-2024-41143
CVE-2024-41726
JVN iPedia JVNDB-2024-000074

更新履歴

2024/07/29
[影響を受けるシステム]および[対策方法]を更新しました