| Title | EmFTP における実行ファイル読み込みに関する脆弱性 |
|---|---|
| Summary | 株式会社エムソフトが提供する EmFTP は、FTP/SFTP クライアントソフトウエアです。EmFTP には、ファイルの読み込み処理に問題があり、ローカル側の拡張子が付いていないファイルを開く場合に、実行ファイルなどの意図しないファイルを読み込んでしまう脆弱性が存在します。 たとえば、同一のディレクトリにテキストファイル example (拡張子なしのファイル名) と実行ファイル example.exe が置かれている場合、当該製品上で example を開こうとすると、example.exe が実行されます。 |
| Possible impacts | プログラムを実行している権限で、任意のコードを実行される可能性があります。 |
| Solution | [ワークアラウンドを実施する] 開発者によると、EmFTP の開発は終了しており、次のワークアラウンドを推奨しています。 * ローカル側の拡張子の付いていないファイルを開く場合には、EmFTP から直接開かず、他の方法 (スタートメニューの [ファイル名を指定して実行]、Windows Explorer など) から開くようにしてください。 |
| Publication Date | Sept. 4, 2014, midnight |
| Registration Date | Sept. 4, 2014, 12:07 p.m. |
| Last Update | Sept. 9, 2014, 4:21 p.m. |
| CVSS2.0 : 警告 | |
| Score | 5.1 |
|---|---|
| Vector | AV:N/AC:H/Au:N/C:P/I:P/A:P |
| 株式会社エムソフト |
| EmFTP Professional |
| EmFTP Standard |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2014年09月04日] 掲載 [2014年09月09日] 参考情報:National Vulnerability Database (NVD) (CVE-2014-3910) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Emurasoft EmFTP allows local users to gain privileges via a Trojan horse executable file that is launched during an attempt to read a similarly named file that lacks a filename extension. |
|---|---|
| Publication Date | Sept. 6, 2014, 2:55 a.m. |
| Registration Date | Jan. 26, 2021, 3:11 p.m. |
| Last Update | Nov. 21, 2024, 11:09 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:emurasoft:emftp:-:*:*:*:standard:*:*:* | |||||
| cpe:2.3:a:emurasoft:emftp:-:*:*:*:professional:*:*:* | |||||