横河レンタ・リースの「Unifier」「Unifier Cast」に複数の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は5月28日、横河レンタ・リース株式会社が提供する「Unifier」および「Unifier Cast」に複数の脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。エムオーテックス株式会社の小椋大靖氏がIPAに報告を行った。

　「Unifier」および「Unifier Cast」は、大型アップデートの分散配布によるネットワーク負荷の軽減や、アップデート状況可視化などを実現するWindowsアップデート運用管理ツール。影響を受けるシステムは以下の通り。

・Unifier Version.5.0およびそれ以降、かつ「修正プログラム20240527」未適用のもの
・Unifier Cast Version.5.0およびそれ以降、かつ「修正プログラム20240527」未適用のもの

　これらのバージョンには、次の脆弱性が存在する。

・Cast Launcherによる不適切なファイルアクセス権設定（CVE-2024-23847）
　CVSS:3.0による基本値：7.8
・coejobhookコマンド実行時における権限チェックの欠如（CVE-2024-36246）
　CVSS:3.0による基本値：9.8

　これら脆弱性が悪用された場合、LocalSystem権限で任意のコードを実行され、結果として不正なプログラムをインストールされたり、データの変更や削除などの操作を行われたりする可能性がある。

　JVNでは、開発者が提供する情報をもとに修正プログラムを適用するよう呼びかけている。