脆弱性

SKYSEA Client Viewで重要な脆弱性(CVE-2024-41139、CVE-2024-41143、CVE-2024-41726)

SKYSEA Client Viewで重要な脆弱性(CVE-2024-41139、CVE-2024-41143、CVE-2024-41726)

2024年7月29日 Sky株式会社はSKYSEA Client Viewの脆弱性(CVE-2024-41139、CVE-2024-41143、CVE-2024-41726)を発表しました。

脆弱性の対策

アップデート

保守契約ユーザー用Webサイトでアップデートや修正モジュールが配布されています。

https://sp.skyseaclientview.net/topics/detail_2875.html

脆弱性の概要

(1) 特定プロセスにおけるアクセス制限不備の脆弱性(CVE-2024-41139)

SKYSEA Client Viewの常駐プロセスを利用して、任意のコードを管理者権限で実行できる脆弱性

(2) 共有メモリを介したデータ交換におけるリクエスト発信元の検証欠如の脆弱性(CVE-2024-41143)

SKYSEA Client Viewサービスを利用して、任意のEXEファイルを管理者権限で実行できる脆弱性

(3) パストラバーサルの脆弱性(CVE-2024-41726)

SKYSEA Client Viewの実行機能にパストラバーサルの脆弱性

(1)および(2)はコンピューター内にとどまる脆弱性、(3)は同一組織内にとどまる脆弱性であることから、組織外のネットワークから本脆弱性を用いて悪用できるものではございません。また、悪用報告等もないとのこと

脆弱性の概要

製品SKYSEA Client View
対象バージョン(1)Ver.6.010.06~19.210.04e / (2)Ver.3.013.00~19.210.04e / (3)Ver.15.200.13i~19.210.04e
対象プログラムマスターサーバー(グローバルマスターサーバー、セカンダリマスターサーバーを含む)管理機端末機データサーバーログ解析サーバー稼働監視端末機監査対象サーバースタンドアロン端末機※いずれもWindows OSが対象です。
CVSS 3.0スコア(1)7.8 / (2)7.8 / (3)7.5
TOPへ