Kantan Reader

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は8月27日、SS1における複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。GMOサイバーセキュリティ byイエラエ株式会社のルスランサイフィエフ氏とデニスファウストヴ氏と川田柾浩氏が報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2025-46409、CVE-2025-52460、CVE-2025-53396、CVE-2025-53970、CVE-2025-54762、CVE-2025-54819、CVE-2025-58072、CVE-2025-58081 SS1 Ver.16.0.0.10 およびそれ以前（メディアバージョン：16.0.0a およびそれ以前）

・CVE-2025-52460、CVE-2025-53970、CVE-2025-54819、CVE-2025-58072 SS1クラウド Ver.2.1.3 およびそれ以前

※CVE-2025-52460、CVE-2025-53970、CVE-2025-54762はWindows環境のみ、CVE-2025-53396、CVE-2025-58072、CVE-2025-58081はMacOS環境でのみ影響を受ける

　株式会社ディー・オー・エスが提供するSS1には、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・不十分な暗号強度（CVE-2025-46409） →遠隔の第三者によって、認証が必要な機能にアクセスされる

・外部からアクセス可能なファイルまたはディレクトリ（CVE-2025-52460） →遠隔の第三者によって、アップロードされたファイルやSS1の構成ファイルにアクセスされる

・重要なリソースに対する不適切なアクセス権の割り当て（CVE-2025-53396） →クライアント端末にログイン可能なユーザーによって、root権限へ昇格される

#	言葉	意味
4	および	および (及び) : and; as well as
3	氏	うじ (氏) : 1. family name; lineage; birth 2. clan
3	影響	えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on
3	以前	いぜん (以前) : ago; since; before; previous
3	よる	よる (因る) : 1. to be due to; to be caused by 2. to depend on; to turn on
2	複数	ふくすう (複数) : plural; multiple; several
2	脆弱性	ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility
2	株式会社	かぶしきがいしゃ (株式会社) : stock company; corporation; kabushiki kaisha; KK
2	環境	かんきょう (環境) : environment; circumstance
2	のみ	のみ : only; nothing but
2	遠隔	えんかく (遠隔) : distant; remote; isolated
2	第	だい (第) : prefix for forming ordinal numbers
2	可能	かのう (可能) : possible; potential; practicable; feasible
1	独立行政法人	どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency)
1	情報処理推進機構	じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization)
1	一般社団法人	いっぱんしゃだんほうじん (一般社団法人) : general incorporated association
1	おく	おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart
1	発表	はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling
1	川田	かわた (皮田) : lowly people (Edo period); eta
1	報告	ほうこく (報告) : report; information
1	行う	おこなう (行う) : to perform; to do; to conduct oneself; to carry out
1	通り	とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic
1	提供	ていきょう (提供) : 1. offer; tender; providing; supplying; making available; donating (blood, organs, etc.) 2. sponsoring (a TV program)
1	下記	かき (下記) : the following
1	可能性	かのうせい (可能性) : potentiality; likelihood; possibility; availability
1	存在	そんざい (存在) : existence; being
1	不十分	ふじゅうぶん (不十分) : insufficient; inadequate; imperfect
1	暗号	あんごう (暗号) : code; password; cipher
1	強度	きょうど (強度) : 1. strength; intensity 2. strong (e.g. glasses); powerful (e.g. lens); intense (e.g. fear); extreme
1	認証	にんしょう (認証) : 1. certification; attestation; authentication; confirmation 2. Imperial attestation
1	機能	きのう (機能) : function; facility; faculty; feature
1	外部	がいぶ (外部) : 1. outside (e.g. of a building); exterior 2. outside (of a group, company, etc.); outside world
1	構成	こうせい (構成) : composition; construction; formation; makeup; structure; organization; organisation
1	重要	じゅうよう (重要) : important; momentous; essential; principal; major
1	対する	たいする (対する) : 1. to face (each other); to be facing 2. to be directed toward (the future, etc.); to be in response to; to be related to
1	不適切	ふてきせつ (不適切) : unsuitable; inappropriate; improper
1	アクセス権	アクセスけん (アクセス権) : right of access; access permission; access right
1	割り当て	わりあて (割り当て) : 1. allotment; assignment; allocation; quota; rationing 2. allocation
1	端末	たんまつ (端末) : 1. terminal; computer terminal 2. information access device (smartphone, tablet, book-reader, etc.)
1	権限	けんげん (権限) : power; authority; jurisdiction
1	昇格	しょうかく (昇格) : promotion; raising of status

Published: 2025-08-29 08:00

SS1 に複数の脆弱性