オフィス統合環境「WPS Office 2」などに脆弱性、名前付きパイプのアクセス権限に不備

同社のアナウンス

　WPS（株）は5月14日、同社のWindows向け製品「WPS Office 2」などに脆弱性があることを明らかにした。脆弱性ポータルサイト「JVN」のレポート（JVN#14434132）によると、バックグラウンドで動作するサービスプログラムとデータをやり取りする名前付きパイプに適切なアクセス権限が設定されておらず、管理者権限を持たない一般ユーザーでもシステム権限で任意のプログラムを実行できてしまうという。

　本脆弱性の深刻度は、「CVSS 4.0」の基本値で「8.5」（10点満点）と評価されている。影響する製品は、以下の通り。

• WPS Office 2（2020年版）：v11.2.0.10707 およびそれ以前のバージョン
• WPS Office 2（2025年版）：v11.2.0.10715 およびそれ以前のバージョン
• WPS Cloud：v11.2.0.10715 およびそれ以前のバージョン
• WPS Cloud Pro：v11.2.0.10716 およびそれ以前のバージョン
• KINGSOFT PDF Pro：v11.2.0.10715 およびそれ以前のバージョン

　脆弱性を解消するには、最新版のv11.2.0.10721へアップデートすればよい。

　ただし、「WPS Office 2」の場合は“2025年版”への移行が必要。過去に「WPS Office」から「WPS Office 2」へ無償アップグレードした場合、“2025年版”への無償アップグレードは提供されていないため、購入の必要がある点には注意したい。