独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月14日、WPS Officeで使用される名前付きパイプに対するアクセス制御不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社ラックの飯田雅裕氏が報告を行っている。影響を受けるシステムは以下の通り。
WPS Office2(2020年版)Ver.11.2.0.10707およびそれ以前
WPS Office2(2025年版)Ver.11.2.0.10715およびそれ以前
WPS Cloud Ver.11.2.0.10715およびそれ以前
WPS Cloud Pro Ver.11.2.0.10716およびそれ以前
KINGSOFT PDF Pro Ver.11.2.0.10715およびそれ以前
WPS株式会社が提供するWPS Officeには、バックグラウンドで動作し一定の機能を提供するサービスプログラムが含まれており、名前付きパイプを使ってWPS Officeに含まれている他のプログラムと通信するが、これらプログラム間の通信で使われる名前付きパイプには適切なACLが設定されておらず、管理者権限を持たない一般ユーザがアクセス可能となっている。
想定される影響としては、管理者権限を持たない一般ユーザーによって、SYSTEM権限で任意のプログラムを実行される可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
