NVD脆弱性詳細

CVE-2018-0580

概要	Untrusted search path vulnerability in CELSYS, Inc CLIP STUDIO series (CLIP STUDIO PAINT (for Windows) EX/PRO/DEBUT Ver.1.7.3 and earlier, CLIP STUDIO ACTION (for Windows) Ver.1.5.5 and earlier, with its timestamp prior to April 25, 2018, 12:11:31, and CLIP STUDIO MODELER (for Windows) Ver.1.6.3 and earlier, with its timestamp prior to April 25, 2018, 17:02:49) allows remote attackers to gain privileges via a Trojan horse DLL in an unspecified directory.
公表日	2018年5月14日22:29
登録日	2021年3月1日18:37
最終更新日	2024年11月21日12:38

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:celsys:clip_studio_paint::::::windows::*		1.7.3
cpe:2.3:a:celsys:clip_studio_action::::::windows::*		1.5.5
cpe:2.3:a:celsys:clip_studio_modeler::::::windows::*		1.6.3

関連情報、対策とツール

No	URL	タグ
1	http://www.clipstudio.net/en/dl	Vendor Advisory
2	http://www.clipstudio.net/en/dl	Vendor Advisory
3	https://jvn.jp/en/jp/JVN68345747/	Third Party Advisory VDB Entry
4	https://jvn.jp/en/jp/JVN68345747/	Third Party Advisory VDB Entry
5	https://www.clip-studio.com/clip_site/download/clipstudioaction/csaupdater/index_win	Vendor Advisory
6	https://www.clip-studio.com/clip_site/download/clipstudioaction/csaupdater/index_win	Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-426	信頼性のない検索パス	https://cwe.mitre.org/data/definitions/426.html

JVN脆弱性情報

株式会社セルシス製の複数の製品のインストーラにおける DLL 読み込みに関する脆弱性

タイトル	株式会社セルシス製の複数の製品のインストーラにおける DLL 読み込みに関する脆弱性
概要	株式会社セルシスが提供する複数の製品のインストーラには、DLL を読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定の DLL を読み込んでしまう脆弱性 (CWE-427) が存在します。
想定される影響	インストーラを実行している権限で、任意のコードを実行される可能性があります。
対策	[最新のインストーラを使用する] 開発者が提供する情報をもとに、最新のインストーラを使用してください。また、インストーラを実行する際には、インストーラと同じディレクトリに不審なファイルがないことを確認してください。なお、本脆弱性の影響を受けるのはインストーラの起動時のみです。すでに製品をインストール済みの場合は影響を受けません。
公表日	2018年4月27日0:00
登録日	2018年4月27日12:03
最終更新日	2018年8月30日14:09

影響を受けるシステム

株式会社セルシス

CLIP STUDIO ACTION (Windows 版) Ver.1.5.5 およびそれ以前 (デジタル署名のタイムスタンプが 2018年4月25日 12:11:31 より前の版)

CLIP STUDIO MODELER (Windows 版) Ver.1.6.3 およびそれ以前 (デジタル署名のタイムスタンプが 2018年4月25日 17:02:49 より前の版)

CLIP STUDIO PAINT (Windows 版) EX/PRO/DEBUT Ver.1.7.3 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2018-0580	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0580
National Vulnerability Database (NVD)
2	CVE-2018-0580	https://nvd.nist.gov/vuln/detail/CVE-2018-0580

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
株式会社セルシス
1	CLIP STUDIO ACTION	https://www.clip-studio.com/clip_site/download/clipstudioaction/csaupdater/index_win
2	CLIP STUDIO MODELER	https://www.clip-studio.com/clip_site/download/clipstudiomodeler/csmupdater/index_win
3	CLIP STUDIO PAINT	https://www.clip-studio.com/clip_site/download/clipstudiopaint/cspupdater/index_win

その他

No	名前	URL
JVN
1	JVN#68345747	https://jvn.jp/jp/JVN68345747/index.html
2	JVNTA#91240916	https://jvn.jp/ta/JVNTA91240916/index.html

変更履歴

No	変更内容	変更日
1	[2018年04月27日] 掲載	2018年4月25日14:05
2	[2018年08月30日] 参考情報：National Vulnerability Database (NVD) (CVE-2018-0580) を追加	2018年8月30日14:08