キングソフトの統合オフィス環境「WPS Office」に任意のOSコマンド実行の脆弱性

JVNの脆弱性レポート（JVN#36060509）

　脆弱性ポータルサイト「JVN」は6月12日、キングソフト社製統合オフィス環境「WPS Office」に関する脆弱性レポート（JVN#36060509）を公開した。同ソフトに対し、OSコマンドインジェクションの脆弱性が存在すると報告している。

　脆弱性が確認されたのはv10.8.0.6186。同バージョンにおいて、正規のアップデートサーバーへの通信に対する中間者攻撃が成立すること、またレジストリあるいは設定ファイルから、アップデートサーバーの接続先を攻撃者が制御するサーバーへと変更可能なことが確認されたという。細工されたデータを送信されると、当該製品がインストールされたシステム上で任意のOSコマンドが実行される恐れがある。

　キングソフトによると、対象の「WPS Office」はすでにサポートを終了しており、今後修正アップデートは提供されないとのこと。同社では、後継製品である「WPS Office 2」への移行・アップグレードを推奨している。なお、最新版「WPS Office 2」において、本脆弱性は確認されていない。