製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

horsicqのDetect-It-Easyにおける相対パストラバーサルの脆弱性

タイトル	horsicqのDetect-It-Easyにおける相対パストラバーサルの脆弱性
概要	Detect-It-Easyのバージョン3.21以前にはパス・トラバーサルの脆弱性が存在し、攻撃者は相対パストラバーサルや絶対パスを含む悪意のあるアーカイブエントリを作成することで、ファイルシステムに任意のファイルを書き込むことが可能です。攻撃者はアーカイブの抽出時に不十分なパス正規化を悪用し、意図された抽出ディレクトリの外部にファイルを書き込み、ユーザーのスタートアップスクリプトを上書きして持続的なコード実行を実現できます。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月4日0:00
登録日	2026年6月3日17:04
最終更新日	2026年6月3日17:04

CVSS3.0 : 重要
スコア	7.8
ベクター	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

影響を受けるシステム

horsicq

Detect-It-Easy 3.21 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-43616	https://www.cve.org/CVERecord?id=CVE-2026-43616
National Vulnerability Database (NVD)
2	CVE-2026-43616	https://nvd.nist.gov/vuln/detail/CVE-2026-43616

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-23	https://cwe.mitre.org/data/definitions/23.html

ベンダー情報

No	名前	URL
VulnCheck
1	Detect-It-Easy < 3.21 Path Traversal Arbitrary File Write \| Advisories \| VulnCheck	https://www.vulncheck.com/advisories/detect-it-easy-path-traversal-arbitrary-file-write

その他

No	名前	URL
関連文書
1	chore: update Formats - add path traversal detection in extraction horsicq/DIE-engine@cbbe168 GitHub	https://github.com/horsicq/DIE-engine/commit/cbbe1688e58ffd430d284bf65f336973f083db69
2	chore: update XArchive - improve path security and delegate methods horsicq/DIE-engine@7fd300b GitHub	https://github.com/horsicq/DIE-engine/commit/7fd300b926daf19707b2a36f0abe8b60a51308ee
3	feat: add path traversal detection in archive extraction horsicq/Formats@56cdf50 GitHub	https://github.com/horsicq/Formats/commit/56cdf50ee3c72c56284e2819b23e98332842d259
4	GitHub - horsicq/Detect-It-Easy: Program for determining types of files for Windows, Linux and MacOS. GitHub	https://github.com/horsicq/Detect-It-Easy
5	refactor: improve path security and delegate methods horsicq/XArchive@6a2aa84 GitHub	https://github.com/horsicq/XArchive/commit/6a2aa84c2fd120b704f76bb5c5ee3e9b5a7a0fcc
6	Release 3.21 horsicq/DIE-engine GitHub	https://github.com/horsicq/DIE-engine/releases/tag/3.21

変更履歴

No	変更内容	変更日
1	[2026年06月03日] 掲載	2026年6月3日17:04

NVD脆弱性情報

CVE-2026-43616

概要	Detect-It-Easy prior to 3.21 contains a path traversal vulnerability that allows attackers to write arbitrary files to the filesystem by crafting malicious archive entries with relative traversal sequences or absolute paths. Attackers can exploit insufficient path normalization during archive extraction to write files outside the intended extraction directory and achieve persistent code execution by overwriting user startup scripts.
公表日	2026年5月5日3:16
登録日	2026年5月5日4:07
最終更新日	2026年5月6日4:50

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/horsicq/DIE-engine/commit/7fd300b926daf19707b2a36f0abe8b60a51308ee	disclosure@vulncheck.com
2	https://github.com/horsicq/DIE-engine/commit/cbbe1688e58ffd430d284bf65f336973f083db69	disclosure@vulncheck.com
3	https://github.com/horsicq/DIE-engine/releases/tag/3.21	disclosure@vulncheck.com
4	https://github.com/horsicq/Detect-It-Easy	disclosure@vulncheck.com
5	https://github.com/horsicq/Formats/commit/56cdf50ee3c72c56284e2819b23e98332842d259	disclosure@vulncheck.com
6	https://github.com/horsicq/XArchive/commit/6a2aa84c2fd120b704f76bb5c5ee3e9b5a7a0fcc	disclosure@vulncheck.com
7	https://www.vulncheck.com/advisories/detect-it-easy-path-traversal-arbitrary-file-write	disclosure@vulncheck.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-23	相対的パストラバーサル	https://cwe.mitre.org/data/definitions/23.html
2	CWE-23	相対的パストラバーサル	https://cwe.mitre.org/data/definitions/23.html