WinRAR における実行ファイル読み込みに関する脆弱性
| Title |
WinRAR における実行ファイル読み込みに関する脆弱性
|
| Summary |
WinRAR には、ユーザの指定したローカルディスク上のファイルを実行する機能が存在します。WinRAR には、指定したファイルに拡張子がない場合、同一フォルダにある同名の拡張子付きファイルを実行してしまう脆弱性が存在します。 WinRAR には、レジストリに設定を保存したり、ファイルから設定を復元したりする機能が存在します。WinRAR には、画面で表示しているフォルダに例えば REGEDIT.BAT という実行ファイルが存在した場合、設定の保存または復元の際に Windows 標準のレジストリ エディターではなく、REGEDIT.BAT を実行してしまう脆弱性が存在します。
|
| Possible impacts |
当該製品の機能から拡張子がないファイルを実行しようとした場合、アプリケーションの権限で、同一フォルダにある同名の拡張子付きファイルが実行されます。 当該製品に REGEDIT.BAT という実行ファイルを表示している状態で、設定の保存または復元を実行した場合、Windows 標準のレジストリ エディターではなく、アプリケーションの権限で、REGEDIT.BAT が実行されます。 |
| Solution |
[アップデートする] 本脆弱性は WinRAR 5.30 beta 5 で修正されています。 開発者が提供する情報をもとに、最新版へアップデートしてください。 |
| Publication Date |
Dec. 17, 2015, midnight |
| Registration Date |
Dec. 17, 2015, 12:05 p.m. |
| Last Update |
Jan. 7, 2016, 3:25 p.m. |
|
CVSS3.0 : 重要
|
| Score |
7.8
|
| Vector |
CVSS:3.0/ |
|
CVSS2.0 : 警告
|
| Score |
5.1
|
| Vector |
AV:N/AC:H/Au:N/C:P/I:P/A:P |
Affected System
| RARLAB |
|
WinRAR 5.30 beta 4 (32 bit) およびそれ以前
|
|
WinRAR 5.30 beta 4 (64 bit) およびそれ以前
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2015年12月17日]
掲載
[2016年01月07日]
参考情報:National Vulnerability Database (NVD) (CVE-2015-5663) を追加 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2015-5663
| Summary |
The file-execution functionality in WinRAR before 5.30 beta 5 allows local users to gain privileges via a Trojan horse file with a name similar to an extensionless filename that was selected by the user.
|
| Publication Date |
Dec. 30, 2015, 2:59 p.m. |
| Registration Date |
Jan. 26, 2021, 2:53 p.m. |
| Last Update |
Nov. 21, 2024, 11:33 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:rarlab:winrar:*:beta_4:*:*:*:*:x64:* |
|
5.30 |
|
|
| cpe:2.3:a:rarlab:winrar:*:beta_4:*:*:*:*:x86:* |
|
5.30 |
|
|
Related information, measures and tools
Common Vulnerabilities List