| タイトル | MaruUo Factory 製の複数のアタッシェケース製品におけるディレクトリトラバーサルの脆弱性 |
|---|---|
| 概要 | MaruUo Factory が提供する複数のアタッシェケース製品には、ATC ファイルに含まれるファイル名の処理に起因する、ディレクトリトラバーサル (CWE-22) の脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 古川 和祈 氏 |
| 想定される影響 | 細工された ATC ファイルを復号することで、任意のファイルを作成されたり既存のファイルを上書きされたりする可能性があります。 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 アタッシェケース for Java は、Ver0.60 およびそれ以前のバージョンを削除したのち、対策版である Ver0.62 およびそれ以降のバージョンをインストールしてください。 |
| 公表日 | 2017年1月16日0:00 |
| 登録日 | 2017年1月16日12:08 |
| 最終更新日 | 2017年6月6日16:12 |
| CVSS3.0 : 低 | |
| スコア | 3.3 |
|---|---|
| ベクター | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
| CVSS2.0 : 警告 | |
| スコア | 4.3 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:N/I:P/A:N |
| MaruUo Factory |
| アタッシェケース for Java Ver0.60 およびそれ以前 |
| アタッシェケース Lite iOSアプリ Ver1.4.6 およびそれ以前 |
| アタッシェケース Pro iOSアプリ Ver1.5.7 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2017年01月16日] 掲載 [2017年06月06日] 参考情報:National Vulnerability Database (NVD) (CVE-2016-7843) を追加 |
2018年2月17日10:37 |
| 概要 | Directory traversal vulnerability in AttacheCase for Java 0.60 and earlier, AttacheCase Lite 1.4.6 and earlier, and AttacheCase Pro 1.5.7 and earlier allows remote attackers to read arbitrary files via specially crafted ATC file. |
|---|---|
| 公表日 | 2017年4月29日1:59 |
| 登録日 | 2021年1月26日14:17 |
| 最終更新日 | 2024年11月21日11:58 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:hibara_software:attachecase_for_java:*:*:*:*:*:*:*:* | 0.6.0 | ||||
| cpe:2.3:a:hibara_software:attachecase_pro:*:*:*:*:*:*:*:* | 1.5.7 | ||||
| cpe:2.3:a:hibara_software:attachecase_lite:*:*:*:*:*:*:*:* | 1.4.6 | ||||