Wondershareのファイル修復ソフトに脆弱性 - パッチ提供状況は不明

Wondershareが提供するファイル修復ソフト「Wondershare Repairit」に複数の脆弱性が明らかとなった。修正方法はわかっておらず、ゼロデイ脆弱性として注意が呼びかけられている。

認証のバイパスが可能となる「CVE-2025-10643」「CVE-2025-10644」が確認されたもの。脆弱性を報告したZero Day Initiativeが明らかにした。

これら脆弱性は、ストレージアカウントトークンやSASトークンに関連しており、悪用することでシステムの認証をバイパスできるとしている。

共通脆弱性評価システム「CVSSv3.0」のベーススコアはそれぞれ「9.1」「9.4」とされており、重要度はともに4段階中もっとも高い「クリティカル（Critical）」と評価されている。

2025年4月に脆弱性を報告。その後も連絡を試みているが、修正プログラムの提供状況などは明らかになっていない。Wondershareに対して8月26日にゼロデイ脆弱性としてアドバイザリを公開すると予告していた。

Zero Day Initiativeは、2025年9月17日に脆弱性のアドバイザリを公開。これまでの経緯を示すとともに、製品の利用を制限するといった緩和策を紹介している。

（Security NEXT - 2025/09/18 ） ツイート

PR

関連記事

相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件
「NVIDIA runx」に脆弱性 - サポート終了により修正予定なし
「SolarWinds WHD」に複数の深刻な脆弱性 - アップデートで修正
「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 - パッチ適用や侵害調査を
Windows環境の「Symfony」でシェル経由処理に問題 - 破壊的操作のおそれ
JavaScriptサンドボックスのnpmライブラリ「SandboxJS」に深刻な脆弱性
NVIDIAのGPUディスプレイドライバに複数脆弱性 - 修正版が公開
米当局、Fortinet製品のゼロデイ攻撃に対する侵害調査などを呼びかけ
「OpenSSL」に重要度「高」含む12件の脆弱性 - アップデートで修正
セキュリティアップデート「Firefox 147.0.2」が公開