IT資産管理用ツール「SKYSEA Client View」に複数の脆弱性

Skyが提供するIT資産管理用ツール「SKYSEA Client View」に複数の脆弱性が明らかとなった。アップデートやパッチが提供されている。

Windows環境において常駐プロセスを悪用して権限の昇格が可能となるアクセス制限不備の脆弱性「CVE-2024-24964」や、特定フォルダにおけるアクセス制限不備の脆弱性「CVE-2024-21805」が明らかとなったもの。

脆弱性の悪用にはローカル環境へログインする権限が必要となるが、管理者権限で任意のプロセスを実行されるおそれがある。共通脆弱性評価システム「CVSSv3.0」のベーススコアはそれぞれ「7.8」「3.3」と評価されている。

同社は対象となるプログラムを「マスターサーバー」「管理機」「端末機」「スタンドアロン端末機」としており、脆弱性を解消したアップデート「同19.2」をリリースした。また「同19.101」までのバージョンに向けて修正パッチを提供している。

（Security NEXT - 2024/03/07 ） ツイート

PR

関連記事

設定ミス突く攻撃、顧客DB消去される - 兵庫県内の保険代理店
DB管理ツール「pgAdmin」に脆弱性 - アカウント乗っ取りのおそれ
メアドが不正利用、スパムの踏み台に - 名古屋産業振興公社
機械学習フレームワーク「H2O-3」に深刻な脆弱性
「ImageMagick」に再度深刻な脆弱性 - サーバ環境は注意
「Spring Cloud Gateway Server WebFlux」に深刻な脆弱性 - 設定改ざんのおそれ
ふるさと納税返礼品を誤発送、送付状作成ミスで別人に
こども園職員、園児写真をSNSに無断投稿 - 糸満市
介護老人保健施設の利用者情報、送迎中に紛失か - 生駒市
野生イノシシ検査結果ファイルに個人情報、削除せず送信 - 静岡県