Draugiem GroupのDeskTime Time Trackingにおける複数の脆弱性
| Title |
Draugiem GroupのDeskTime Time Trackingにおける複数の脆弱性
|
| Summary |
DeskTimeタイムトラッキングアプリのバージョン1.3.674より前のバージョンにおいて、不適切なTLS証明書検証の脆弱性があります。この脆弱性により、クライアントとDeskTimeのアップデートサーバー間のネットワーク経路に位置する攻撃者が、アップデート要求に対して悪意のある実行ファイルを返すことが可能です。これによって、攻撃者は影響を受けたクライアント上でユーザーレベルのリモートコード実行を行うことができます。
|
| Possible impacts |
当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 28, 2026, midnight |
| Registration Date |
May 20, 2026, 1:22 p.m. |
| Last Update |
May 20, 2026, 1:22 p.m. |
|
CVSS3.0 : 警告
|
| Score |
4.8
|
| Vector |
CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N |
Affected System
| Draugiem Group |
|
DeskTime Time Tracking 1.3.674 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年05月20日]
掲載 |
May 20, 2026, 1:22 p.m. |
NVD Vulnerability Information
CVE-2025-10539
| Summary |
Due to improper TLS certificate validation in the DeskTime Time Tracking App before version 1.3.674, attackers who can position themselves in the network path between the client and the DeskTime update servers can return a malicious executable in response to an update request. This allows the attacker to achieve user-level remote code execution on the affected client.
|
| Publication Date |
April 28, 2026, 6:16 p.m. |
| Registration Date |
April 29, 2026, 4:08 a.m. |
| Last Update |
April 30, 2026, 5:16 a.m. |
Related information, measures and tools
Common Vulnerabilities List