「SKYSEA Client View」における複数の脆弱性
■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC (一般社団法人JPCERTコーディネーションセンター)は、2024 年 3 月 7 日に「『SKYSEA Client View』における複数の脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。
◆概要
・Sky 株式会社が提供する「SKYSEA Client View」は、IT 資産管理用ツールです。
・「SKYSEA Client View」には、次の複数の脆弱性が存在します。
▽ 特定フォルダにおけるアクセス制限不備
– CVE-2024-21805
▽ 常駐プロセスにおけるアクセス制限不備
– CVE-2024-24964
・想定される影響は各脆弱性により異なりますが、当該製品の Windowsクライアントがインストールされた PC にログイン可能なユーザによって、次のような影響を受ける可能性があります。
▽ 任意のファイルを特定のフォルダに配置される。配置されたファイルが細工された DLL ファイルの場合、結果として SYSTEM 権限で任意のコードを実行される
– CVE-2024-21805
▽ SYSTEM 権限で任意のプロセスを実行される
– CVE-2024-24964
・開発者が提供する情報をもとに、最新版にアップデートするか、パッチを適用してください。
◆この脆弱性情報は、2024 年 2 月 7 日および 2 月 16 日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。
◆詳細については、こちらをご覧ください。
・「SKYSEA Client View」における複数の脆弱性
URL:https://jvn.jp/jp/JVN54451757/index.html
※もしくは、https://jvn.jp/jp/ から「JVN#54451757」を参照