「SS1」における複数の脆弱性について（JVN#99577552）

 注釈：最新情報は、JVN(JVN#99577552)をご覧ください。

概要

株式会社ディー・オー・エスが提供する「SS1」は、資産管理ツールです。

「SS1」には、不十分な暗号強度（CVE-2025-46409）、外部からアクセス可能なファイルまたはディレクトリ（CVE-2025-52460）、重要なリソースに対する不適切なアクセス権の割り当て（CVE-2025-53396）、アップロードするファイルの検証が不十分（CVE-2025-53970、CVE-2025-54762）、パス・トラバーサル（CVE-2025-54819、CVE-2025-58072）、およびハードコードされたパスワードの使用（CVE-2025-58081）の脆弱性が存在します。

本脆弱性を悪用された場合、遠隔の第三者によって認証が必要な機能にアクセスされたり、アップロードされたファイルやSS1の構成ファイルにアクセスされたり、正規のファイルを上書きされたり、任意のファイルを閲覧されたり、root権限で任意のファイルを閲覧されたりする可能性、またクライアント端末にログイン可能なユーザーによって、root権限へ昇格されたり、任意のファイルをアップロードされ、SYSTEM権限で任意のOSコマンドを実行されたりする可能性があります。

製品開発者が提供する情報をもとに、最新版にアップデートしてください。

本脆弱性の深刻度

脆弱性の深刻度は共通脆弱性評価システムCVSS v3に基づいて定めている。

• CVSS v3に基づいた深刻度と基本値について
  • 脆弱性のCVSS v3深刻度
  • 脆弱性のCVSS v3基本値

CVE-2025-53970、CVE-2025-54762

CVE-2025-46409

CVE-2025-58072

CVE-2025-58081

CVE-2025-53396

CVE-2025-54819

CVE-2025-52460

対象

次の製品が対象です。

• SS1 Ver.16.0.0.10 およびそれ以前（メディアバージョン：16.0.0a およびそれ以前）

• SS1 クラウド Ver.2.1.3 およびそれ以前

なお、開発者によるとCVE-2025-52460、CVE-2025-53970、CVE-2025-54762はWindows環境のみ、CVE-2025-53396、CVE-2025-58072、CVE-2025-58081はMacOS環境でのみ影響を受けるとのことです。

対策

アップデートする

開発者が提供する情報をもとに、最新版にアップデートしてください。

詳しくは、開発者が提供する下記サイトの情報をご確認ください。

• 弊社製品「SS1」「SS1クラウド」の脆弱性に関するお知らせ

参考情報

• 弊社製品「SS1」「SS1クラウド」の脆弱性に関するお知らせ

• 「情報セキュリティ早期警戒パートナーシップ」について
  この脆弱性情報は、製品利用者への周知を⽬的に、開発者がJPCERT/CCに報告し、JPCERT/CC が開発者との調整を行いました。詳細は、下記の URL を参照ください。
  • 脆弱性関連情報の届出受付