製品・ソフトウェアに関する情報
Vulnerability Search
MaruUo Factory 製の複数のアタッシェケース製品におけるディレクトリトラバーサルの脆弱性
Title MaruUo Factory 製の複数のアタッシェケース製品におけるディレクトリトラバーサルの脆弱性
Summary

MaruUo Factory が提供する複数のアタッシェケース製品には、ATC ファイルに含まれるファイル名の処理に起因する、ディレクトリトラバーサル (CWE-22) の脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 古川 和祈 氏

Possible impacts 細工された ATC ファイルを復号することで、任意のファイルを作成されたり既存のファイルを上書きされたりする可能性があります。
Solution

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 アタッシェケース for Java は、Ver0.60 およびそれ以前のバージョンを削除したのち、対策版である Ver0.62 およびそれ以降のバージョンをインストールしてください。
Publication Date Jan. 16, 2017, midnight
Registration Date Jan. 16, 2017, 12:08 p.m.
Last Update June 6, 2017, 4:12 p.m.
CVSS3.0 : 低
Score 3.3
Vector CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
CVSS2.0 : 警告
Score 4.3
Vector AV:N/AC:M/Au:N/C:N/I:P/A:N
Affected System
MaruUo Factory
アタッシェケース for Java Ver0.60 およびそれ以前
アタッシェケース Lite iOSアプリ Ver1.4.6 およびそれ以前
アタッシェケース Pro iOSアプリ Ver1.5.7 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2017年01月16日]
  掲載
[2017年06月06日]
  参考情報:National Vulnerability Database (NVD) (CVE-2016-7843) を追加		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2016-7843
Summary

Directory traversal vulnerability in AttacheCase for Java 0.60 and earlier, AttacheCase Lite 1.4.6 and earlier, and AttacheCase Pro 1.5.7 and earlier allows remote attackers to read arbitrary files via specially crafted ATC file.

Publication Date April 29, 2017, 1:59 a.m.
Registration Date Jan. 26, 2021, 2:17 p.m.
Last Update Nov. 21, 2024, 11:58 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:hibara_software:attachecase_for_java:*:*:*:*:*:*:*:* 0.6.0
cpe:2.3:a:hibara_software:attachecase_pro:*:*:*:*:*:*:*:* 1.5.7
cpe:2.3:a:hibara_software:attachecase_lite:*:*:*:*:*:*:*:* 1.4.6
Related information, measures and tools
Common Vulnerabilities List