「ウイルスバスター クラウド」にコードインジェクションの脆弱性 ～JVNが注意喚起

JVNが公開した脆弱性レポート（JVN#99545969）

　脆弱性ポータルサイト“JVN”は3月5日、トレンドマイクロ社が提供するセキュリティソフト「ウイルスバスター クラウド」で発見されたコードインジェクションの脆弱性（CVE-2021-25251）に関する脆弱性レポート（JVN#99545969）を公表した。

　JVNによると、「ウイルスバスター クラウド」には外部からの入力やパラメーターの変更で想定外の動作を引き起こすコードインジェクション攻撃が可能なセキュリティ欠陥が存在する。最悪の場合、管理者権限を取得した第三者によって任意のコードを実行され、プログラムのパスワード保護やシステムの保護を無効にされる可能性があるという。脆弱性の評価は、CVSS v3の基本値で“8.2”。

　本脆弱性の影響範囲は、Windows版の「ウイルスバスター クラウド」v16.0およびv17.0．トレンドマイクロ社によると、問題は2月に修正されており、修正プログラムを配信済み。悪用した攻撃も確認されていないという。

　修正プログラムは自動で配信・適用されるが、下記のバージョンになっていない場合は、手動でアップデートを実施する必要がある。

• v17.0系統：バージョン 17.0.1222以降
• v16.0系統：バージョン 16.0.1413以降