MaLion 端末エージェント(Windows)で複数の深刻な脆弱性(CVE-2025-59485 ,CVE-2025-62691, CVE-2025-64693)

セキュリティニュース

投稿日時: 更新日時:

MaLion 端末エージェント(Windows)で複数の深刻な脆弱性(CVE-2025-59485 ,CVE-2025-62691, CVE-2025-64693)

2025年11月25日、株式会社インターコムはクライアント管理ソフト「MaLionシリーズ」の Windows 端末エージェントに複数の脆弱性が存在すると公表しました。同日、JVN(Japan Vulnerability Notes)でも「JVN#76298784 MaLionの端末エージェント(Windows)における複数の脆弱性」として情報が公開されており、いずれも早期のアップデート対応が推奨されています。

影響を受ける製品・バージョン

JVNおよびベンダーリリースで示されている影響範囲は次のとおりです。

  • CVE-2025-59485(インストール時の不適切なファイルアクセス権設定)

    • MaLion Ver.5.3.4 より前の Windows 端末エージェント

  • CVE-2025-62691 / CVE-2025-64693(HTTP処理に起因するバッファオーバーフロー)

    • MaLion Ver.7.1.1.9 より前の Windows 端末エージェント

    • MaLionCloud Ver.7.2.0.1 より前の Windows 端末エージェント

ベンダー側は、CVE-2025-59485 については既に「MaLion Ver.5.3.4 以降」で対策済みであり、今回あらためて影響を受けるのは主として Ver.7 系の端末エージェントであると説明しています。

各脆弱性の内容

CVE-2025-59485:インストール時の不適切なファイルアクセス権設定

  • 分類:CWE-276(不適切なデフォルトパーミッション)

  • CVSS v3.0 基本値:3.3(AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N)

Windows 用端末エージェントのインストール時に、特定フォルダのアクセス権設定が不適切である問題です。ローカルログオン可能なユーザーが細工したファイル(悪意のある DLL など)をそのフォルダに配置できる場合、結果として SYSTEM 権限で任意コード実行が行われる可能性があります。

この問題は MaLion Ver.5.3.4 以降で修正済みとされており、該当する旧バージョンを利用している環境ではバージョンアップが必須です。

CVE-2025-62691:HTTPヘッダ処理のスタックベースバッファオーバーフロー

  • 分類:CWE-121(スタックベースのバッファオーバーフロー)

  • CVSS v3.0 基本値:9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Windows 端末上で動作する MaLion 端末エージェントが、受信した HTTP リクエストのヘッダを処理する際の検証不備により、バッファオーバーフローが発生する問題です。

この脆弱性を悪用すると、ネットワーク上の第三者が細工したリクエストを送信するだけで、認証なしに SYSTEM 権限で任意のコードを実行できる可能性があります。JVN では、機密性・完全性・可用性いずれも「高(H)」と評価されており、リモートからのフル乗っ取りに等しい深刻度といえます。

CVE-2025-64693:Content-Length処理のヒープベースバッファオーバーフロー

  • 分類:CWE-122(ヒープベースのバッファオーバーフロー)

  • CVSS v3.0 基本値:9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

こちらも端末エージェントが受信する HTTP リクエストのうち、Content-Length ヘッダを処理する部分の不備に起因する脆弱性です。

ベンダーリリースでは、攻撃により DoS(サービス妨害)攻撃などが引き起こされる危険性に言及していますが、JVN の評価では、細工されたリクエストにより SYSTEM 権限で任意コード実行に至る可能性があるとされています。

いずれにしても、遠隔・認証不要でプロセスのクラッシュや乗っ取りが可能になるため、CVE-2025-62691 と同等の深刻なリモート脆弱性として扱う必要があります。

対策

インターコムおよび JVN は、いずれの脆弱性についても「最新版へのアップデート」が基本方針であるとしています。

各CVEに対応した修正版のバージョンは以下のとおりです。

  • CVE-2025-59485 対応済み

    • MaLion Ver.5.3.4 以降の Windows 端末エージェント

  • CVE-2025-62691 / CVE-2025-64693 対応済み

    • MaLion Ver.7.1.1.9 以降の Windows 端末エージェント

    • MaLionCloud Ver.7.2.0.1 以降の Windows 端末エージェント

ベンダーは、該当バージョンより古い端末エージェントを利用している場合、速やかにこれらのバージョン以降へアップデートするよう呼びかけています。

また、「MaLion クラブ」内では、旧バージョンを利用中の環境向けの暫定対策も案内されていますが、恒久対策としては最新版への更新が推奨されています。