製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Draugiem GroupのDeskTime Time Trackingにおける複数の脆弱性

タイトル	Draugiem GroupのDeskTime Time Trackingにおける複数の脆弱性
概要	DeskTimeタイムトラッキングアプリのバージョン1.3.674より前のバージョンにおいて、不適切なTLS証明書検証の脆弱性があります。この脆弱性により、クライアントとDeskTimeのアップデートサーバー間のネットワーク経路に位置する攻撃者が、アップデート要求に対して悪意のある実行ファイルを返すことが可能です。これによって、攻撃者は影響を受けたクライアント上でユーザーレベルのリモートコード実行を行うことができます。
想定される影響	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月28日0:00
登録日	2026年5月20日13:22
最終更新日	2026年5月20日13:22

CVSS3.0 : 警告
スコア	4.8
ベクター	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N

影響を受けるシステム

Draugiem Group

DeskTime Time Tracking 1.3.674 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-10539	https://www.cve.org/CVERecord?id=CVE-2025-10539
National Vulnerability Database (NVD)
2	CVE-2025-10539	https://nvd.nist.gov/vuln/detail/CVE-2025-10539

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-295	https://cwe.mitre.org/data/definitions/295.html
2	CWE-296	https://cwe.mitre.org/data/definitions/296.html
3	CWE-494	https://cwe.mitre.org/data/definitions/494.html

ベンダー情報

No	名前	URL
SEC Consult
1	Missing TLS Certificate Validation leading to RCE in DeskTime Time Tracking App - SEC Consult (desktime)	https://r.sec-consult.com/desktime
2	Missing TLS Certificate Validation leading to RCE in DeskTime Time Tracking App - SEC Consult (missing-tls-certificate-validation-leading-to-rce-in-desktime-time-tracking-app)	https://sec-consult.com/vulnerability-lab/advisory/missing-tls-certificate-validation-leading-to-rce-in-desktime-time-tracking-app/
SecLists.Org
3	Full Disclosure: Re: SEC Consult SA-20260427-0 :: Missing TLS Certificate Validation leading to RCE in DeskTime Time Tracking App	http://seclists.org/fulldisclosure/2026/Apr/21
4	Full Disclosure: SEC Consult SA-20260427-0 :: Missing TLS Certificate Validation leading to RCE in DeskTime Time Tracking App	http://seclists.org/fulldisclosure/2026/Apr/20

その他

No	名前	URL
関連文書
1	Download DeskTime for Windows, Mac or Linux	https://desktime.com/download

変更履歴

No	変更内容	変更日
1	[2026年05月20日] 掲載	2026年5月20日13:22

NVD脆弱性情報

CVE-2025-10539

概要	Due to improper TLS certificate validation in the DeskTime Time Tracking App before version 1.3.674, attackers who can position themselves in the network path between the client and the DeskTime update servers can return a malicious executable in response to an update request. This allows the attacker to achieve user-level remote code execution on the affected client.
公表日	2026年4月28日18:16
登録日	2026年4月29日4:08
最終更新日	2026年4月30日5:16

関連情報、対策とツール

No	URL	refsource	タグ
1	https://desktime.com/download	551230f0-3615-47bd-b7cc-93e92e730bbf
2	https://r.sec-consult.com/desktime	551230f0-3615-47bd-b7cc-93e92e730bbf
3	http://seclists.org/fulldisclosure/2026/Apr/20	af854a3a-2127-422b-91ae-364da2661108
4	http://seclists.org/fulldisclosure/2026/Apr/21	af854a3a-2127-422b-91ae-364da2661108
5	https://sec-consult.com/vulnerability-lab/advisory/missing-tls-certificate-validation-leading-to-rce-in-desktime-time-tracking-app/	134c704f-9b21-4f2e-91b3-4a467353bcc0

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-295	不正な証明書検証	https://cwe.mitre.org/data/definitions/295.html
2	CWE-494	ダウンロードしたコードの完全性検証不備	https://cwe.mitre.org/data/definitions/494.html
3	CWE-296	証明書のトラストチェーンの不適切な追跡	https://cwe.mitre.org/data/definitions/296.html