投稿日時: 更新日時:
2025年11月25日、株式会社インターコムはクライアント管理ソフト「MaLionシリーズ」の Windows 端末エージェントに複数の脆弱性が存在すると公表しました。同日、JVN(Japan Vulnerability Notes)でも「JVN#76298784 MaLionの端末エージェント(Windows)における複数の脆弱性」として情報が公開されており、いずれも早期のアップデート対応が推奨されています。
目次
影響を受ける製品・バージョン
JVNおよびベンダーリリースで示されている影響範囲は次のとおりです。
-
CVE-2025-59485(インストール時の不適切なファイルアクセス権設定)
-
MaLion Ver.5.3.4 より前の Windows 端末エージェント
-
-
CVE-2025-62691 / CVE-2025-64693(HTTP処理に起因するバッファオーバーフロー)
-
MaLion Ver.7.1.1.9 より前の Windows 端末エージェント
-
MaLionCloud Ver.7.2.0.1 より前の Windows 端末エージェント
-
ベンダー側は、CVE-2025-59485 については既に「MaLion Ver.5.3.4 以降」で対策済みであり、今回あらためて影響を受けるのは主として Ver.7 系の端末エージェントであると説明しています。
各脆弱性の内容
CVE-2025-59485:インストール時の不適切なファイルアクセス権設定
-
分類:CWE-276(不適切なデフォルトパーミッション)
-
CVSS v3.0 基本値:3.3(AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N)
Windows 用端末エージェントのインストール時に、特定フォルダのアクセス権設定が不適切である問題です。ローカルログオン可能なユーザーが細工したファイル(悪意のある DLL など)をそのフォルダに配置できる場合、結果として SYSTEM 権限で任意コード実行が行われる可能性があります。
この問題は MaLion Ver.5.3.4 以降で修正済みとされており、該当する旧バージョンを利用している環境ではバージョンアップが必須です。
CVE-2025-62691:HTTPヘッダ処理のスタックベースバッファオーバーフロー
-
分類:CWE-121(スタックベースのバッファオーバーフロー)
-
CVSS v3.0 基本値:9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Windows 端末上で動作する MaLion 端末エージェントが、受信した HTTP リクエストのヘッダを処理する際の検証不備により、バッファオーバーフローが発生する問題です。
この脆弱性を悪用すると、ネットワーク上の第三者が細工したリクエストを送信するだけで、認証なしに SYSTEM 権限で任意のコードを実行できる可能性があります。JVN では、機密性・完全性・可用性いずれも「高(H)」と評価されており、リモートからのフル乗っ取りに等しい深刻度といえます。
CVE-2025-64693:Content-Length処理のヒープベースバッファオーバーフロー
-
分類:CWE-122(ヒープベースのバッファオーバーフロー)
-
CVSS v3.0 基本値:9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
こちらも端末エージェントが受信する HTTP リクエストのうち、Content-Length ヘッダを処理する部分の不備に起因する脆弱性です。
ベンダーリリースでは、攻撃により DoS(サービス妨害)攻撃などが引き起こされる危険性に言及していますが、JVN の評価では、細工されたリクエストにより SYSTEM 権限で任意コード実行に至る可能性があるとされています。
いずれにしても、遠隔・認証不要でプロセスのクラッシュや乗っ取りが可能になるため、CVE-2025-62691 と同等の深刻なリモート脆弱性として扱う必要があります。
対策
インターコムおよび JVN は、いずれの脆弱性についても「最新版へのアップデート」が基本方針であるとしています。
各CVEに対応した修正版のバージョンは以下のとおりです。
-
CVE-2025-59485 対応済み
-
MaLion Ver.5.3.4 以降の Windows 端末エージェント
-
-
CVE-2025-62691 / CVE-2025-64693 対応済み
-
MaLion Ver.7.1.1.9 以降の Windows 端末エージェント
-
MaLionCloud Ver.7.2.0.1 以降の Windows 端末エージェント
-
ベンダーは、該当バージョンより古い端末エージェントを利用している場合、速やかにこれらのバージョン以降へアップデートするよう呼びかけています。
また、「MaLion クラブ」内では、旧バージョンを利用中の環境向けの暫定対策も案内されていますが、恒久対策としては最新版への更新が推奨されています。
関連記事
アップルップルが提供するa-blog cmsに重大な脆弱性
NEC「Aterm」シリーズのルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性も
エレコム製無線LANルータに複数の深刻な脆弱性、サポート終了製品も含まれる(CVE-2025-43879,CVE-2025-48890)
バッファロー製Wi-Fi ルーターで複数の脆弱性(JVN#58236836、CVE-2024-23486、CVE-2024-26023)
a-blog cms に複数の深刻な脆弱性-SSRF脆弱性はCVSSスコア9.2、即時のアップデートを推奨
エムオーテックス「LANSCOPE エンドポイントマネージャー(オンプレミス版)」に深刻なRCE脆弱性(CVE-2025-61932) 全クライアントの至急アップデートを呼びかけ
エレコム製無線ルーターで複数の脆弱性(CVE-2024-25568,CVE-2024-26258,CVE-2024-29225)
エレコム製無線ルーターで複数の脆弱性(CVE-2024-34021,CVE-2024-39607,CVE-2024-40883)
エプソン製プロジェクターのWeb管理機能に深刻な脆弱性(CVE-2025-64310)
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ製品を手がける上場企業にて、SOC(セキュリティオペレーションセンター)運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、MDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)