ソリトンシステムズ、Soliton SecureWorkspace/SecureBrowser II/OneGate版SecureBrowserに権限設定不備の脆弱性(CVE-2026-27653、JVN#41357120)

セキュリティニュース

投稿日時: 更新日時:

ソリトンシステムズ、Soliton SecureWorkspace/SecureBrowser II/OneGate版SecureBrowserに権限設定不備の脆弱性(CVE-2026-27653、JVN#41357120)

ソリトンシステムズは2026年2月27日、Soliton SecureWorkspace、Soliton SecureBrowser II(Windows版)、Soliton SecureBrowser for OneGate(Windows版)において、インストール時の不適切なファイルアクセス権設定に起因する脆弱性(CVE-2026-27653、JVN#41357120)を修正したと告知しました。JPCERT/CCと調整のうえで公表しており、該当する環境では最新版へのアップデートを求めています。

概要

本脆弱性の特徴は「全ユーザーが無条件に影響を受ける」タイプではなく、デフォルト以外のインストールパスを使っている場合に該当する点です。該当条件を満たすと、ローカル環境でSYSTEM権限で任意のコードを実行される可能性があるとされています(ローカル権限昇格の類型)。

また、現時点で本脆弱性悪用による被害報告は受けていないとしています。

対象製品と影響バージョン

影響を受けるのは以下のバージョンです。

  • Soliton SecureWorkspace:V1.0.0〜V1.4.7(V1.4.1までの製品名称はSoliton WrappingBox)

  • Soliton SecureBrowser II(Windows版):V2.0.0〜V2.0.14

  • Soliton SecureBrowser for OneGate(Windows版):V1.0.0

脆弱性の内容

脆弱性概要

  • 内容:インストール時の不適切なファイルアクセス権設定(CWE-276)

  • 識別子:CVE-2026-27653、JVN#41357120

  • CVSS:記載ではCVSS v4 基本値5.4、CVSS v3 基本値6.7

該当条件

デフォルト以外のパスにインストールしている場合に該当します。告知に記載されているデフォルトインストールパスは以下です。

  • Soliton SecureWorkspace(Soliton WrappingBox)/Soliton SecureBrowser II(Windows版)
    %ProgramFiles(x86)%¥Soliton WrappingBox

  • Soliton SecureBrowser for OneGate(Windows版)
    %ProgramFiles(x86)%¥Soliton SecureBrowser

影響

該当条件を満たす場合、SYSTEM権限で任意のコードを実行される可能性があるとしています。

対策

修正版へのアップデートが案内されています。

  • Soliton SecureWorkspace:V1.4.8(2026年2月20日リリース)

  • Soliton SecureBrowser II(Windows版):V2.0.15(2026年2月20日リリース)

  • Soliton SecureBrowser for OneGate(Windows版):V1.0.1(2026年2月27日リリース)

アップデート時の注意点

実務上の注意として重要なのが、非デフォルトパスにインストールしている環境でアップデートすると、インストール先がデフォルトパスに強制変更される点です。これは「デフォルトパス以外にインストールできないよう仕様変更した」と明記されています。

そのため、非デフォルトパス運用には何らかの事情がある可能性が高く、いきなり全台展開せず、パイロット端末で事前検証することが推奨されています。