独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は3月15日、株式会社セキュアブレインが提供する、不正送金やフィッシング対策用のソフトウェア「PhishWall クライアント」のインストーラに、DLL読み込みに関する脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。合同会社セキュリティ・プロフェッショナルズ・ネットワークの吉田英二(Eiji James Yoshida)氏、NTTセキュリティ・ジャパン株式会社の磯侑斗氏が報告を行った。CVSS v3によるBase Scoreは7.8。「PhishWall クライアント Windows用 Firefox、Chrome版 Ver. 5.1.26 およびそれ以前のインストーラ」には、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう脆弱性(CVE-2018-0552)が存在する。これらの脆弱性が悪用されると、インストーラを実行している権限で任意のコードを実行される可能性がある。JVNでは、開発者が提供する情報をもとに最新のインストーラを使用するよう呼びかけている。
Joomla! の Google Map Landkarten コンポーネントにおける値検証不備に起因する SQL Injection の脆弱性(Scan Tech Report)2018.3.12 Mon 8:30
